Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Présentation de AWS Security Hub CSPM
AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM) vous fournit une vue complète de votre état de sécurité et vous aide à évaluer votre AWS environnement par rapport aux normes AWS et aux meilleures pratiques du secteur de la sécurité.
AWS Security Hub CSPM collecte des données de sécurité sur les Comptes AWS produits tiers pris en charge et vous aide à analyser vos tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires. Services AWS
Pour vous aider à gérer l'état de sécurité de votre organisation, Security Hub CSPM prend en charge plusieurs normes de sécurité. Il s'agit notamment de la norme AWS Foundational Security Best Practices (FSBP) développée par AWS et de cadres de conformité externes tels que le Center for Internet Security (CIS), le Payment Card Industry Data Security Standard (PCI DSS) et le National Institute of Standards and Technology (NIST). Chaque norme inclut plusieurs contrôles de sécurité, chacun représentant une bonne pratique en matière de sécurité. Security Hub CSPM effectue des vérifications par rapport aux contrôles de sécurité et génère des résultats de contrôle pour vous aider à évaluer votre conformité par rapport aux meilleures pratiques de sécurité.
En plus de générer des résultats de contrôle, Security Hub CSPM reçoit également des résultats d'autres produits, Services AWS tels qu'Amazon, Amazon GuardDuty Inspector et Amazon Macie, et de produits tiers pris en charge. Cela vous donne une vue d'ensemble d'une variété de problèmes liés à la sécurité. Vous pouvez également envoyer les résultats du Security Hub CSPM à d'autres produits tiers pris Services AWS en charge.
Security Hub CSPM propose des fonctionnalités d'automatisation qui vous aident à trier et à résoudre les problèmes de sécurité. Par exemple, vous pouvez utiliser des règles d'automatisation pour mettre automatiquement à jour les résultats critiques en cas d'échec d'un contrôle de sécurité. Vous pouvez également tirer parti de l'intégration avec Amazon EventBridge pour déclencher des réponses automatiques à des résultats spécifiques.
**Topics**
+ [Avantages du Security Hub CSPM](#securityhub-benefits)
+ [Accès au Security Hub CSPM](#securityhub-get-started)
+ [Services connexes](#securityhub-related-services)
+ [Essai gratuit et tarifs de Security Hub CSPM](#securityhub-free-trial)
+ [Concepts et terminologie dans Security Hub CSPM](securityhub-concepts.md)
+ [Activation du Security Hub CSPM](securityhub-settingup.md)
+ [Gestion des comptes d'administrateur et de membre dans Security Hub CSPM](securityhub-accounts.md)
+ [Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md)
+ [Comprendre les normes de sécurité dans Security Hub CSPM](standards-view-manage.md)
+ [Comprendre les contrôles de sécurité dans Security Hub CSPM](controls-view-manage.md)
+ [Comprendre les intégrations dans Security Hub CSPM](securityhub-findings-providers.md)
+ [Création et mise à jour des résultats dans Security Hub CSPM](securityhub-findings.md)
+ [Afficher des informations dans Security Hub CSPM](securityhub-insights.md)
+ [Modification automatique des résultats et prise en compte des résultats dans Security Hub CSPM](automations.md)
+ [Utilisation du tableau de bord dans Security Hub CSPM](dashboard.md)
+ [Limites régionales pour Security Hub CSPM](securityhub-regions.md)
+ [Création de ressources Security Hub CSPM avec CloudFormation](creating-resources-with-cloudformation.md)
+ [Abonnement aux annonces CSPM de Security Hub avec Amazon SNS](securityhub-announcements.md)
+ [Désactivation du Security Hub CSPM](securityhub-disable.md)
+ [Sécurité dans AWS Security Hub CSPM](security.md)
+ [Journalisation des appels de l'API Security Hub avec CloudTrail](securityhub-ct.md)
## Avantages du Security Hub CSPM
Voici quelques-unes des principales manières dont Security Hub CSPM vous aide à surveiller votre niveau de conformité et de sécurité dans l'ensemble de votre AWS environnement.
**Effort réduit pour collecter et hiérarchiser les conclusions**
Security Hub CSPM réduit les efforts liés à la collecte et à la hiérarchisation des résultats de sécurité sur les comptes issus de produits intégrés Services AWS et de produits AWS partenaires. Security Hub CSPM traite les données de recherche à l'aide du format de recherche ASFF ( AWS Security Finding Format), un format de recherche standard. Ainsi, il n'est plus nécessaire de gérer les résultats provenant d'une myriade de sources dans de multiples formats. Security Hub CSPM met également en corrélation les résultats obtenus par les fournisseurs pour vous aider à hiérarchiser les plus importants.
**Contrôles automatiques de sécurité selon les bonnes pratiques et les normes**
Security Hub CSPM exécute automatiquement des contrôles de configuration et de sécurité continus au niveau du compte, conformément aux AWS meilleures pratiques et aux normes du secteur. Security Hub CSPM utilise les résultats de ces contrôles pour calculer les scores de sécurité et identifier les comptes et les ressources spécifiques qui nécessitent une attention particulière.
**Vue consolidée des conclusions dans les comptes et les fournisseurs**
Security Hub CSPM consolide vos résultats de sécurité entre les comptes et les produits des fournisseurs et affiche les résultats sur la console Security Hub CSPM. Vous pouvez également récupérer les résultats via l'API Security Hub CSPM AWS CLI, ou. SDKs Grâce à une vision globale de l'état actuel de votre sécurité, vous pouvez identifier les tendances, identifier les problèmes potentiels et prendre les mesures correctives nécessaires.
**Possibilité d'automatiser la recherche, les mises à jour et les mesures correctives**
Vous pouvez créer des règles d'automatisation qui modifient ou suppriment les résultats en fonction des critères que vous avez définis. Security Hub CSPM prend également en charge une intégration avec Amazon. EventBridge Pour automatiser la correction de résultats spécifiques, vous pouvez définir des actions personnalisées à effectuer lorsqu'un résultat est généré. Vous pouvez, par exemple, configurer des actions personnalisées, pour envoyer des conclusions à un système de tickets ou à un système de correction automatique.
## Accès au Security Hub CSPM
Security Hub CSPM est disponible dans la plupart des cas. Régions AWS Pour obtenir la liste des régions dans lesquelles Security Hub CSPM est actuellement disponible, voir [Points de terminaison et AWS quotas Security Hub CSPM](https://docs.aws.amazon.com/general/latest/gr/sechub.html) dans le. *Références générales AWS* Pour plus d'informations sur la gestion Régions AWS de votre compte Compte AWS, voir [Spécifier les comptes que Régions AWS votre compte peut utiliser](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) dans le *Guide de Gestion de compte AWS référence*.
Dans chaque région, vous pouvez accéder au Security Hub CSPM et l'utiliser de l'une des manières suivantes :
**Console Security Hub CSPM**
AWS Management Console Il s'agit d'une interface basée sur un navigateur que vous pouvez utiliser pour créer et gérer AWS des ressources. Dans le cadre de cette console, la console Security Hub CSPM permet d'accéder à votre compte, à vos données et à vos ressources Security Hub CSPM. Vous pouvez effectuer des tâches Security Hub CSPM à l'aide de la console Security Hub CSPM : consulter les résultats, créer des règles d'automatisation, créer une région d'agrégation, etc.
**API CSPM du Security Hub**
L'API Security Hub CSPM vous donne un accès programmatique à votre compte, à vos données et à vos ressources Security Hub CSPM. Avec l'API, vous pouvez envoyer des requêtes HTTPS directement au Security Hub CSPM. Pour plus d'informations sur l'API, consultez la *[référence de AWS Security Hub l'API](https://docs.aws.amazon.com/securityhub/1.0/APIReference/)*.
**AWS CLI**
Avec le AWS CLI, vous pouvez exécuter des commandes sur la ligne de commande de votre système pour effectuer des tâches Security Hub CSPM. Dans certains cas, l'utilisation de la ligne de commande peut être plus rapide et plus pratique que celle de la console. La ligne de commande est également utile si vous souhaitez créer des scripts qui exécutent des tâches. Pour plus d'informations sur l'installation et l'utilisation du AWS CLI, consultez le [guide de AWS Command Line Interface l'utilisateur](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
**AWS SDKs**
AWS fournit SDKs des bibliothèques et des exemples de code pour différents langages de programmation et plateformes, par exemple Java, Go, Python, C\$1\$1 et .NET. Ils SDKs fournissent un accès pratique et programmatique à Security Hub CSPM et à d'autres applications Services AWS dans la langue de votre choix. Ils gèrent également des tâches telles que la signature cryptographique des demandes, la gestion des erreurs et le renouvellement automatique des demandes. Pour plus d'informations sur l'installation et l'utilisation du AWS SDKs, [voir Outils sur lesquels s'appuyer AWS](https://aws.amazon.com/developertools/).
**Important**
Security Hub CSPM détecte et consolide uniquement les résultats générés une fois que vous avez activé Security Hub CSPM. Il ne détecte ni ne consolide rétroactivement les résultats de sécurité générés avant que vous n'activiez Security Hub CSPM.
Security Hub CSPM reçoit et traite les résultats uniquement dans la région où vous avez activé Security Hub CSPM sur votre compte.
Pour une conformité totale avec les contrôles de sécurité de CIS AWS Foundations Benchmark, vous devez activer Security Hub CSPM dans toutes les régions prises en charge AWS .
## Services connexes
Pour renforcer la sécurité de votre AWS environnement, pensez à en utiliser un autre Services AWS en combinaison avec Security Hub CSPM. Certains Services AWS envoient leurs résultats à Security Hub CSPM, et Security Hub CSPM normalise les résultats dans un format standard. Certains Services AWS peuvent également recevoir les résultats de Security Hub CSPM.
Pour obtenir la liste des autres entités Services AWS qui envoient ou reçoivent les résultats du Security Hub CSPM, consultez. [Service AWS intégrations avec Security Hub CSPM](securityhub-internal-providers.md)
Security Hub CSPM utilise des règles liées aux services AWS Config pour exécuter des contrôles de sécurité pour la plupart des contrôles. Les contrôles font référence à Services AWS des AWS ressources spécifiques. Pour obtenir la liste des contrôles CSPM du Security Hub, consultez. [Référence de contrôle pour Security Hub CSPM](securityhub-controls-reference.md) Vous devez activer AWS Config et enregistrer les ressources dans AWS Config Security Hub CSPM afin de générer la plupart des résultats de contrôle. Pour de plus amples informations, veuillez consulter [Considérations avant l'activation et la configuration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).
## Essai gratuit et tarifs de Security Hub CSPM
Lorsque vous activez Security Hub CSPM Compte AWS pour la première fois, ce compte est automatiquement inscrit à un essai gratuit de 30 jours de Security Hub CSPM.
Lorsque vous utilisez Security Hub CSPM pendant l'essai gratuit, l'utilisation d'autres services avec lesquels Security Hub CSPM interagit, tels que des articles, vous est facturée. AWS Config Aucuns frais ne vous sont facturés pour AWS Config les règles activées uniquement par les normes de sécurité CSPM du Security Hub.
L'utilisation de Security Hub CSPM ne vous est pas facturée avant la fin de votre essai gratuit.
### Afficher les détails d'utilisation
Security Hub CSPM fournit des informations d'utilisation, notamment le nombre de contrôles de sécurité et de résultats traités par votre compte. Les détails d'utilisation incluent également le temps restant dans l'essai gratuit. Ces informations peuvent vous aider à comprendre votre utilisation du Security Hub CSPM après la fin de l'essai gratuit. Les informations d'utilisation sont également disponibles après la fin de l'essai gratuit.
**Pour afficher les informations d'utilisation (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, sélectionnez **Utilisation** sous **Paramètres**.
Les informations d'utilisation concernent uniquement le compte courant et la région en cours. Dans une région d'agrégation, les informations d'utilisation n'incluent pas les régions liées. Pour plus d'informations sur les régions liées, consultez[Types de données agrégées](finding-aggregation.md#finding-aggregation-overview).
Pour consulter le détail des coûts de votre compte, utilisez la [console AWS de facturation](https://console.aws.amazon.com/billing/).
### Informations de tarification
Pour plus d'informations sur la façon dont Security Hub CSPM facture les résultats ingérés et les contrôles de sécurité, consultez la section Tarification du [Security Hub](https://aws.amazon.com/security-hub/pricing/) CSPM.
# Concepts et terminologie dans Security Hub CSPM
Dans AWS Security Hub CSPM, nous nous appuyons sur des AWS concepts et une terminologie communs et utilisons ces termes supplémentaires.
**Compte**
Un compte Amazon Web Services (AWS) standard contenant vos AWS ressources. Vous pouvez vous connecter AWS avec votre compte et activer Security Hub CSPM.
Un compte peut inviter d'autres comptes à activer Security Hub CSPM et à s'associer à ce compte dans Security Hub CSPM. L'acceptation d'une invitation d'adhésion est facultative. Si les invitations sont acceptées, le compte devient un compte administrateur, et les comptes ajoutés sont des comptes membres. Les comptes administrateurs peuvent consulter les résultats dans leurs comptes de membres.
Si vous êtes inscrit AWS Organizations, votre organisation désigne un compte administrateur Security Hub CSPM pour l'organisation. Le compte administrateur Security Hub CSPM peut activer d'autres comptes d'organisation en tant que comptes de membres.
Un compte ne peut pas être à la fois un compte administrateur et un compte membre. Un compte ne peut comporter qu'un seul compte administrateur.
Pour de plus amples informations, veuillez consulter [Gestion des comptes d'administrateur et de membre dans Security Hub CSPM](securityhub-accounts.md).
**Compte administrateur**
Un compte dans Security Hub CSPM autorisé à consulter les résultats des comptes de membres associés.
Un compte devient un compte administrateur de l'une des manières suivantes :
+ Le compte invite d'autres comptes à s'y associer dans Security Hub CSPM. Lorsque ces comptes acceptent l'invitation, ils deviennent des comptes membres et le compte invitant devient leur compte administrateur.
+ Le compte est désigné par un compte de gestion de l'organisation en tant que compte administrateur Security Hub CSPM. Le compte administrateur Security Hub CSPM peut activer n'importe quel compte d'organisation en tant que compte membre et peut également inviter d'autres comptes à devenir des comptes membres.
Un compte ne peut comporter qu'un seul compte administrateur. Un compte ne peut pas être à la fois un compte administrateur et un compte membre.
**Région d'agrégation**
La définition d'une région d'agrégation vous permet de visualiser les résultats de sécurité provenant de plusieurs Régions AWS sites sur un seul écran.
La région d'agrégation est la région à partir de laquelle vous visualisez et gérez les résultats. Les résultats sont agrégés dans la région d'agrégation à partir des régions liées. Les mises à jour des résultats sont reproduites dans toutes les régions.
Dans la région d'agrégation, les pages **Normes de sécurité****, Informations** et **Conclusions** incluent des données provenant de toutes les régions liées.
Pour de plus amples informations, veuillez consulter [Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
**Résultat archivé**
Une découverte dont l'état d'enregistrement (`RecordState`) est`ARCHIVED`. L'archivage d'un résultat indique que le fournisseur du résultat estime que le résultat n'est plus pertinent. L'état de l'enregistrement est différent de l'état du flux de travail, qui permet de suivre l'état de l'enquête menée jusqu'à un résultat.
Les fournisseurs de recherche peuvent utiliser le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)fonctionnement de l'API Security Hub CSPM pour archiver les résultats qu'ils ont créés. Security Hub CSPM archive automatiquement les résultats des contrôles qui répondent à certains critères. Pour de plus amples informations, veuillez consulter [Génération, mise à jour et archivage des résultats des contrôles](controls-findings-create-update.md#securityhub-standards-results-updating).
Sur la console Security Hub CSPM, les paramètres de filtre par défaut excluent les résultats archivés des listes et des tableaux de recherche. Vous pouvez mettre à jour les paramètres pour inclure les résultats archivés. Si vous récupérez des résultats à l'aide de l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)API Security Hub CSPM, l'opération récupère à la fois les résultats archivés et les résultats actifs. Pour exclure les résultats archivés, vous pouvez filtrer les résultats. Par exemple :
```
"RecordState": [
{
"Comparison": "EQUALS",
"Value": "ARCHIVED"
}
],
```
**AWS Format de recherche de sécurité (ASFF)**
Format standardisé pour le contenu des résultats que Security Hub CSPM agrège ou génère. Le AWS Security Finding Format vous permet d'utiliser Security Hub CSPM pour consulter et analyser les résultats générés par les services de sécurité, les solutions tierces ou le AWS Security Hub CSPM lui-même à la suite de l'exécution de contrôles de sécurité. Pour de plus amples informations, veuillez consulter [AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
**Contrôle**
Protection ou contre-mesure prescrite pour un système d'information ou une organisation visant à protéger la confidentialité, l'intégrité et la disponibilité de ses informations, ainsi qu’à satisfaire à un ensemble d'exigences de sécurité définies. Une norme de sécurité est associée à un ensemble de contrôles.
Le terme *contrôle de sécurité* fait référence aux contrôles dotés d'un identifiant et d'un titre de contrôle uniques, quelle que soit la norme. Le terme *contrôle standard* fait référence aux contrôles dotés d'un contrôle IDs et de titres spécifiques à une norme. Actuellement, Security Hub CSPM prend en charge les contrôles standard uniquement dans les régions de Chine et. AWS GovCloud (US) Regions Les contrôles de sécurité sont pris en charge dans toutes les autres régions.
**Action personnalisée**
Un mécanisme Security Hub CSPM permettant d'envoyer des résultats sélectionnés à. EventBridge Une action personnalisée est créée dans Security Hub CSPM. Il est ensuite lié à une EventBridge règle. La règle définit une action spécifique à effectuer lorsqu'un résultat reçu est associé à l'ID de l'action personnalisée. Des actions personnalisées peuvent être utilisées, par exemple pour envoyer un résultat spécifique, ou un petit ensemble de résultats, vers un flux de travail de réponse ou de correction. Pour de plus amples informations, veuillez consulter [Création d'une action personnalisée](securityhub-cwe-configure.md).
**Compte d'administrateur délégué (Organizations)**
Dans AWS Organizations, le compte d'administrateur délégué d'un service est capable de gérer l'utilisation d'un service pour l'organisation.
Dans Security Hub CSPM, le compte administrateur Security Hub CSPM est également le compte administrateur délégué pour Security Hub CSPM. Lorsque le compte de gestion de l'organisation désigne pour la première fois un compte administrateur Security Hub CSPM, Security Hub CSPM appelle Organizations pour faire de ce compte le compte administrateur délégué.
Le compte de gestion de l'organisation doit ensuite choisir le compte d'administrateur délégué comme compte d'administrateur Security Hub CSPM dans toutes les régions.
**Résultat**
Enregistrement observable d'une vérification de sécurité ou d'une détection liée à la sécurité. Security Hub CSPM génère et met à jour les résultats après avoir effectué les vérifications de sécurité relatives aux contrôles. C'est ce que l'on appelle *les résultats de contrôle*. Les résultats peuvent également provenir d'intégrations avec Services AWS d'autres produits tiers.
Pour de plus amples informations, veuillez consulter [Création et mise à jour des résultats dans Security Hub CSPM](securityhub-findings.md).
**Agrégation entre régions**
L'agrégation des résultats, des informations, des états de conformité des contrôles et des scores de sécurité des régions liées à une région d'agrégation. Vous pouvez ensuite consulter toutes vos données de la région d'agrégation et mettre à jour les résultats et les informations de la région d'agrégation.
Pour de plus amples informations, veuillez consulter [Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
**Trouver une ingestion**
L'importation de résultats dans Security Hub CSPM à partir d'autres AWS services et de fournisseurs partenaires tiers.
La découverte d'événements liés à l'ingestion inclut à la fois de nouvelles découvertes et des mises à jour des résultats existants.
**Informations**
Ensemble de conclusions connexes définies par une déclaration d'agrégation et des filtres facultatifs. Un aperçu permet d'identifier une zone de sécurité qui nécessite une attention et une intervention. Security Hub CSPM propose plusieurs informations gérées (par défaut) que vous ne pouvez pas modifier. Vous pouvez également créer des informations personnalisées sur Security Hub CSPM pour suivre les problèmes de sécurité propres à votre AWS environnement et à votre utilisation. Pour de plus amples informations, veuillez consulter [Afficher des informations dans Security Hub CSPM](securityhub-insights.md).
**Région liée**
Lorsque vous activez l'agrégation entre régions, une région liée est une région qui regroupe les résultats, les informations, le contrôle des états de conformité et les scores de sécurité dans la région d'agrégation.
Dans une région liée, les pages **Résultats** et **Perspectives** contiennent uniquement les résultats de cette région.
Pour de plus amples informations, veuillez consulter [Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
**Compte membre**
Un compte qui a autorisé un compte administrateur à consulter ses conclusions et à prendre des mesures en conséquence.
Un compte devient un compte membre de l'une des manières suivantes :
+ Le compte accepte une invitation provenant d'un autre compte.
+ Pour un compte d'organisation, le compte administrateur Security Hub CSPM active le compte en tant que compte membre.
**Exigences connexes**
Ensemble d'exigences sectorielles ou réglementaires qui sont mappées à un contrôle.
**Règle**
Ensemble de critères automatisés utilisés pour évaluer si un contrôle est respecté. Lorsqu'une règle est évaluée, elle peut aboutir ou échouer. Si l'évaluation ne parvient pas à déterminer si la règle réussit ou échoue, la règle est alors dans un état d'avertissement. Si la règle ne peut pas être évaluée, son état est Non disponible.
**Vérification de sécurité**
point-in-timeÉvaluation spécifique d'une règle par rapport à une ressource unique aboutissant à un `NOT_AVAILABLE` état `PASSED` `FAILED``WARNING`,, ou. L'exécution d'une vérification de sécurité génère un résultat.
**Compte administrateur Security Hub CSPM**
Un compte d'organisation qui gère l'adhésion à Security Hub CSPM pour une organisation.
Le compte de gestion de l'organisation désigne le compte administrateur Security Hub CSPM dans chaque région. Le compte de gestion de l'organisation doit choisir le même compte administrateur Security Hub CSPM dans toutes les régions.
Le compte administrateur Security Hub CSPM est également le compte administrateur délégué pour Security Hub CSPM in Organizations.
Le compte administrateur Security Hub CSPM peut activer n'importe quel compte d'organisation en tant que compte membre. Le compte administrateur du Security Hub CSPM peut également inviter d'autres comptes à devenir des comptes membres.
**Norme de sécurité**
Déclaration publiée sur un sujet et qui spécifie les caractéristiques, généralement mesurables et sous la forme de contrôles, qui doivent être satisfaites ou atteintes pour la conformité. Les normes de sécurité peuvent être basées sur des cadres réglementaires, des bonnes pratiques ou des politiques internes de l'entreprise. Un contrôle peut être associé à une ou plusieurs normes prises en charge dans Security Hub CSPM. Pour en savoir plus sur les normes de sécurité dans Security Hub CSPM, consultez. [Comprendre les normes de sécurité dans Security Hub CSPM](standards-view-manage.md)
**Sévérité**
La sévérité attribuée à un contrôle Security Hub CSPM identifie l'importance du contrôle. La sévérité d'un contrôle peut être **critique**, **élevée**, **moyenne**, **faible** ou **informative**. La sévérité attribuée aux résultats du contrôle est égale à la sévérité du contrôle lui-même. Pour en savoir plus sur la manière dont Security Hub CSPM attribue la sévérité à un contrôle, consultez. [Niveaux de gravité des résultats de contrôle](controls-findings-create-update.md#control-findings-severity)
**État du flux de travail**
État d'avancement d'une enquête sur un résultat. Ceci est suivi à l'aide de l'`Workflow.Status`attribut.
L'état du flux de travail est initialement `NEW`. Si vous avez demandé au propriétaire de la ressource d'agir sur le résultat, vous pouvez définir l'état du flux de travail sur `NOTIFIED`. Si le résultat ne pose pas de problème et ne nécessite aucune action, définissez l'état du flux de travail sur `SUPPRESSED`. Après avoir examiné et corrigé un résultat, définissez l'état du flux de travail sur `RESOLVED`.
Par défaut, la plupart des listes de recherche incluent uniquement les résultats dont le statut de flux de travail est `NEW` ou `NOTIFIED`. Les listes de constatations pour les contrôles comprennent également les résultats `RESOLVED`.
Pour l'opération [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html), vous pouvez inclure un filtre sur l'état du flux de travail.
```
"WorkflowStatus": [
{
"Comparison": "EQUALS",
"Value": "RESOLVED"
}
],
```
La console Security Hub CSPM propose une option permettant de définir l'état du flux de travail en fonction des résultats. Les clients (ou les outils SIEM, billetterie, gestion des incidents ou SOAR travaillant pour le compte d'un client pour mettre à jour les résultats des fournisseurs de recherche) peuvent également utiliser [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) pour mettre à jour l'état du flux de travail.
# Activation du Security Hub CSPM
Il existe deux manières d'activer AWS Security Hub CSPM : en intégrant AWS Organizations ou manuellement.
Nous recommandons vivement l'intégration avec Organizations pour les environnements multicomptes et multirégionaux. Si vous avez un compte autonome, il est nécessaire de configurer le Security Hub CSPM manuellement.
## Vérification des autorisations nécessaires
Après vous être inscrit à Amazon Web Services (AWS), vous devez activer Security Hub CSPM pour utiliser ses capacités et fonctionnalités. Pour activer Security Hub CSPM, vous devez d'abord configurer des autorisations vous permettant d'accéder à la console Security Hub CSPM et aux opérations de l'API. Vous ou votre AWS administrateur pouvez le faire en utilisant Gestion des identités et des accès AWS (IAM) pour associer la politique AWS gérée appelée `AWSSecurityHubFullAccess` à votre identité IAM.
Pour activer et gérer Security Hub CSPM via l'intégration Organizations, vous devez également joindre la politique AWS gérée appelée. `AWSSecurityHubOrganizationsAccess`
Pour de plus amples informations, veuillez consulter [AWS politiques gérées pour Security Hub](security-iam-awsmanpol.md).
## Activation de l'intégration de Security Hub (CSPM) avec Organizations
Pour commencer à utiliser Security Hub CSPM avec AWS Organizations, le compte de AWS Organizations gestion de l'organisation désigne un compte en tant que compte administrateur délégué du Security Hub CSPM pour l'organisation. Security Hub CSPM est automatiquement activé dans le compte d'administrateur délégué de la région actuelle.
Choisissez votre méthode préférée et suivez les étapes pour désigner l'administrateur délégué.
------
#### [ Security Hub CSPM console ]
**Pour désigner l'administrateur délégué du Security Hub CSPM lors de l'intégration**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Choisissez **Go to Security Hub CSPM**. Vous êtes invité à vous connecter au compte de gestion des Organizations.
1. Sur la page **Désigner un administrateur délégué**, dans la section **Compte d'administrateur délégué**, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.
1. Choisissez **Définir un administrateur délégué**.
------
#### [ Security Hub CSPM API ]
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)API depuis le compte de gestion des Organizations. Indiquez l' Compte AWS ID du compte d'administrateur délégué du Security Hub CSPM.
------
#### [ AWS CLI ]
Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)commande depuis le compte de gestion des Organizations. Indiquez l' Compte AWS ID du compte d'administrateur délégué du Security Hub CSPM.
**Exemple de commande :**
```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```
------
Pour plus d'informations sur l'intégration avec Organizations, consultez[Intégration de Security Hub CSPM à AWS Organizations](designate-orgs-admin-account.md).
### Configuration centrale
Lorsque vous intégrez Security Hub CSPM et Organizations, vous avez la possibilité d'utiliser une fonctionnalité appelée [configuration centrale](central-configuration-intro.md) pour configurer et gérer Security Hub CSPM pour votre organisation. Nous recommandons vivement d'utiliser la configuration centralisée, car elle permet à l'administrateur de personnaliser la couverture de sécurité pour l'organisation. Le cas échéant, l'administrateur délégué peut autoriser un compte membre à configurer ses propres paramètres de couverture de sécurité.
La configuration centrale permet à l'administrateur délégué de configurer Security Hub CSPM sur tous les comptes OUs, et. Régions AWS L'administrateur délégué configure Security Hub CSPM en créant des politiques de configuration. Dans une politique de configuration, vous pouvez définir les paramètres suivants :
+ Si Security Hub CSPM est activé ou désactivé
+ Quelles normes de sécurité sont activées et désactivées
+ Quels contrôles de sécurité sont activés et désactivés
+ S'il faut personnaliser les paramètres de certaines commandes
En tant qu'administrateur délégué, vous pouvez créer une politique de configuration unique pour l'ensemble de votre organisation ou différentes politiques de configuration pour vos différents comptes et OUs. Par exemple, les comptes de test et les comptes de production peuvent utiliser des politiques de configuration différentes.
Les comptes membres et OUs ceux qui utilisent une politique de configuration sont *gérés de manière centralisée* et ne peuvent être configurés que par l'administrateur délégué. L'administrateur délégué peut désigner des comptes de membre spécifiques et les désigner OUs comme étant *autogérés* afin de donner au membre la possibilité de configurer ses propres paramètres sur une Region-by-Region base donnée.
Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub CSPM séparément dans chaque compte et région. C'est ce qu'on appelle [la configuration locale](local-configuration.md). Dans le cadre de la configuration locale, l'administrateur délégué peut automatiquement activer Security Hub CSPM et un ensemble limité de normes de sécurité dans les nouveaux comptes d'organisation de la région actuelle. La configuration locale ne s'applique pas aux comptes d'organisation existants ni aux régions autres que la région actuelle. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.
## Activation manuelle du Security Hub CSPM
Vous devez activer Security Hub CSPM manuellement si vous possédez un compte autonome ou si vous ne l'intégrez pas à. AWS Organizations Les comptes autonomes ne peuvent pas s'intégrer à l' AWS Organizations activation manuelle et doivent l'utiliser.
Lorsque vous activez le Security Hub CSPM manuellement, vous désignez un compte administrateur Security Hub CSPM et vous invitez d'autres comptes à devenir des comptes membres. La relation administrateur-membre est établie lorsqu'un compte de membre potentiel accepte l'invitation.
Choisissez votre méthode préférée et suivez les étapes pour activer Security Hub CSPM. Lorsque vous activez Security Hub CSPM depuis la console, vous avez également la possibilité d'activer les normes de sécurité prises en charge.
------
#### [ Security Hub CSPM console ]
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Lorsque vous ouvrez la console Security Hub CSPM pour la première fois, choisissez **Go to Security Hub** CSPM.
1. Sur la page d'accueil, la section **Normes de sécurité** répertorie les normes de sécurité prises en charge par Security Hub CSPM.
Cochez la case correspondant à une norme pour l'activer, puis décochez-la pour la désactiver.
Vous pouvez activer ou désactiver une norme ou ses contrôles individuels à tout moment. Pour plus d'informations sur la gestion des normes de sécurité, consultez[Comprendre les normes de sécurité dans Security Hub CSPM](standards-view-manage.md).
1. Choisissez **Enable Security Hub (Activer le hub de sécurité)**.
------
#### [ Security Hub CSPM API ]
Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html)API. Lorsque vous activez Security Hub CSPM depuis l'API, les normes de sécurité par défaut suivantes sont automatiquement activées :
+ AWS Bonnes pratiques de sécurité fondamentales
+ Benchmark v1.2.0 des AWS fondations du Center for Internet Security (CIS)
Si vous ne souhaitez pas activer ces normes, définissez `EnableDefaultStandards` sur `false`.
Vous pouvez également utiliser le `Tags` paramètre pour attribuer des valeurs de balise à la ressource du hub.
------
#### [ AWS CLI ]
Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Pour activer les normes par défaut, incluez`--enable-default-standards`. Pour ne pas activer les normes par défaut, incluez`--no-enable-default-standards`. Les normes de sécurité par défaut sont les suivantes :
+ AWS Bonnes pratiques de sécurité fondamentales
+ Benchmark v1.2.0 des AWS fondations du Center for Internet Security (CIS)
```
aws securityhub enable-security-hub [--tags ] [--enable-default-standards | --no-enable-default-standards]
```
**Exemple**
```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```
------
### Script d'activation multi-comptes
**Note**
Au lieu de ce script, nous vous recommandons d'utiliser une configuration centralisée pour activer et configurer Security Hub CSPM sur plusieurs comptes et régions.
Le [script d'activation multicompte Security Hub CSPM vous GitHub permet d'activer le](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) Security Hub CSPM sur plusieurs comptes et régions. Le script automatise également le processus d'envoi d'invitations aux comptes des membres et d'activation AWS Config.
Le script active automatiquement l'enregistrement AWS Config des ressources pour toutes les ressources, y compris les ressources globales, dans toutes les régions. Il ne limite pas l'enregistrement des ressources mondiales à une seule région. Pour réduire les coûts, nous recommandons de n'enregistrer les ressources mondiales que dans une seule région. Si vous utilisez la configuration centrale ou l'agrégation entre régions, il doit s'agir de votre région d'origine. Pour de plus amples informations, veuillez consulter [Enregistrer des ressources dans AWS Config](securityhub-setup-prereqs.md#config-resource-recording).
Il existe un script correspondant pour désactiver le Security Hub CSPM entre les comptes et les régions.
## Prochaines étapes : gestion de la posture et intégrations
Après avoir activé Security Hub CSPM, nous vous recommandons d'activer les normes et les contrôles de sécurité pour surveiller votre niveau de sécurité. Une fois les contrôles activés, Security Hub CSPM commence à exécuter des contrôles de sécurité et à générer des résultats de contrôle qui vous aident à détecter les erreurs de configuration dans votre environnement. AWS Pour recevoir les résultats des contrôles, vous devez activer et configurer AWS Config le Security Hub CSPM. Pour de plus amples informations, veuillez consulter [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md).
Après avoir activé Security Hub CSPM, vous pouvez également tirer parti des intégrations entre Security Hub CSPM Services AWS et d'autres solutions tierces pour consulter leurs conclusions dans Security Hub CSPM. Security Hub CSPM regroupe les résultats provenant de différentes sources et les intègre dans un format cohérent. Pour de plus amples informations, veuillez consulter [Comprendre les intégrations dans Security Hub CSPM](securityhub-findings-providers.md).
# Activation et configuration AWS Config pour Security Hub CSPM
AWS Security Hub CSPM utilise des AWS Config règles pour exécuter des contrôles de sécurité et générer des résultats pour la plupart des contrôles. AWS Config fournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Il utilise des règles pour établir une configuration de base pour vos ressources et un enregistreur de configuration pour détecter si une ressource particulière enfreint les conditions d'une règle.
Certaines règles, appelées règles AWS Config gérées, sont prédéfinies et développées par AWS Config. Les autres règles sont des AWS Config règles personnalisées développées par Security Hub CSPM. AWS Config les règles utilisées par Security Hub CSPM pour les contrôles sont appelées règles liées aux *services*. Les règles liées aux services permettent, Services AWS par exemple au Security Hub CSPM, de créer des AWS Config règles dans votre compte.
Pour recevoir les résultats des contrôles dans Security Hub CSPM, vous devez activer votre AWS Config compte. Vous devez également activer l'enregistrement des ressources pour les types de ressources que les contrôles activés évaluent. Security Hub CSPM peut ensuite créer les AWS Config règles appropriées pour les contrôles, commencer à exécuter des contrôles de sécurité et générer des résultats pour les contrôles.
**Topics**
+ [Considérations avant l'activation et la configuration AWS Config](#securityhub-prereq-config)
+ [Enregistrer des ressources dans AWS Config](#config-resource-recording)
+ [Méthodes d'activation et de configuration AWS Config](#config-how-to-enable)
+ [Comprendre le contrôle Config.1](#config-1-overview)
+ [Génération de règles liées à un service](#securityhub-standards-generate-awsconfigrules)
+ [Considérations de coût](#config-cost-considerations)
## Considérations avant l'activation et la configuration AWS Config
Pour recevoir les résultats de contrôle dans Security Hub CSPM, celui-ci AWS Config doit être activé pour votre compte dans chaque Région AWS cas où Security Hub CSPM est activé. Si vous utilisez Security Hub CSPM pour un environnement multi-comptes, celui-ci AWS Config doit être activé dans chaque région pour le compte administrateur et tous les comptes membres.
Nous vous recommandons vivement d'activer l'enregistrement des ressources AWS Config *avant* d'activer les normes et contrôles CSPM du Security Hub. Cela vous permet de vous assurer que les résultats de vos contrôles sont exacts.
Pour activer l'enregistrement des ressources dans AWS Config, vous devez disposer des autorisations suffisantes pour enregistrer les ressources dans le rôle Gestion des identités et des accès AWS (IAM) attaché à l'enregistreur de configuration. En outre, assurez-vous qu'aucune politique ou AWS Organizations politique IAM n' AWS Config empêche d'avoir l'autorisation d'enregistrer vos ressources. Les contrôles CSPM du Security Hub évaluent directement les configurations des ressources et ne tiennent pas compte AWS Organizations des politiques. Pour plus d'informations sur AWS Config l'enregistrement, consultez la section [Utilisation de l'enregistreur de configuration](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) dans le *Guide du AWS Config développeur*.
Si vous activez une norme dans Security Hub CSPM mais que vous ne l'avez pas activée AWS Config, Security Hub CSPM essaie de créer des AWS Config règles liées au service selon le calendrier suivant :
+ Le jour où vous activez la norme.
+ Le lendemain de l'activation de la norme.
+ 3 jours après avoir activé la norme.
+ 7 jours après l'activation de la norme, puis en continu tous les 7 jours.
Si vous utilisez la configuration centralisée, Security Hub CSPM essaie également de créer des AWS Config règles liées aux services chaque fois que vous associez une politique de configuration qui active une ou plusieurs normes aux comptes, aux unités organisationnelles (OUs) ou à la racine.
## Enregistrer des ressources dans AWS Config
Lorsque vous l'activez AWS Config, vous devez spécifier les AWS ressources que vous souhaitez que l'enregistreur de AWS Config configuration enregistre. Grâce aux règles liées au service, l'enregistreur de configuration permet à Security Hub CSPM de détecter les modifications apportées à la configuration de vos ressources.
Pour que Security Hub CSPM génère des résultats de contrôle précis, vous devez activer l'enregistrement AWS Config pour les types de ressources correspondant à vos contrôles activés. Il s'agit principalement de contrôles activés avec un type de calendrier *déclenché par des modifications* qui nécessitent un enregistrement des ressources. Certains contrôles dotés d'un type de calendrier *périodique* nécessitent également un enregistrement des ressources. Pour obtenir la liste de ces contrôles et des ressources correspondantes, consultez[AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md).
**Avertissement**
Si vous ne configurez pas correctement AWS Config l'enregistrement pour les contrôles Security Hub CSPM, cela peut entraîner des résultats de contrôle inexacts, en particulier dans les cas suivants :
Vous n'avez jamais enregistré la ressource pour un contrôle donné, ou vous avez désactivé l'enregistrement d'une ressource avant de créer ce type de ressource. Dans ces cas, vous recevez un `WARNING` résultat pour le contrôle en question, même si vous avez peut-être créé des ressources dans le cadre du contrôle après avoir désactivé l'enregistrement. Il `WARNING` s'agit d'un résultat par défaut qui n'évalue pas réellement l'état de configuration de la ressource.
Vous désactivez l'enregistrement pour une ressource évaluée par un contrôle particulier. Dans ce cas, Security Hub CSPM conserve les résultats du contrôle générés avant que vous ne désactiviez l'enregistrement, même si le contrôle n'évalue pas les ressources nouvelles ou mises à jour. Security Hub CSPM modifie également le statut de conformité des résultats en. `WARNING` Ces résultats conservés peuvent ne pas refléter avec précision l'état de configuration actuel d'une ressource.
Par défaut, AWS Config enregistre toutes les *ressources régionales* prises en charge qu'il découvre dans le Région AWS système dans lequel il s'exécute. Pour recevoir tous les résultats du contrôle CSPM du Security Hub, vous devez également configurer AWS Config pour enregistrer les ressources *globales*. Pour réduire les coûts, nous recommandons de n'enregistrer les ressources mondiales que dans une seule région. Si vous utilisez la configuration centrale ou l'agrégation entre régions, cette région doit être votre région d'origine.
Dans AWS Config, vous pouvez choisir entre *un enregistrement continu* et un *enregistrement quotidien* des modifications de l'état des ressources. Si vous optez pour un enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats CSPM du Security Hub pour les contrôles déclenchés par des modifications jusqu'à ce qu'une période de 24 heures soit terminée.
Pour plus d'informations sur AWS Config l'enregistrement, consultez la section [AWS Ressources relatives à l'enregistrement](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) dans le *Guide du AWS Config développeur*.
## Méthodes d'activation et de configuration AWS Config
Vous pouvez activer AWS Config et activer l'enregistrement des ressources de l'une des manières suivantes :
+ **AWS Config console** — Vous pouvez activer un compte AWS Config à l'aide de la AWS Config console. Pour obtenir des instructions, reportez-vous à la section [Configuration AWS Config à l'aide de la console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) dans le *Guide du AWS Config développeur*.
+ **AWS CLI ou SDKs** — Vous pouvez activer AWS Config un compte en utilisant le AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez la section [Configuration AWS Config avec le AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) dans le *guide du AWS Config développeur*. AWS des kits de développement logiciel (SDKs) sont également disponibles pour de nombreux langages de programmation.
+ **CloudFormation modèle** — Pour l'activer AWS Config pour de nombreux comptes, nous vous recommandons d'utiliser le AWS CloudFormation modèle nommé **Enable AWS Config**. Pour accéder à ce modèle, consultez les [AWS CloudFormation StackSet exemples de modèles](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) dans le *guide de AWS CloudFormation l'utilisateur*.
Par défaut, ce modèle exclut l'enregistrement pour les ressources globales IAM. Assurez-vous d'activer l'enregistrement pour les ressources mondiales IAM en une seule fois afin de réduire Région AWS les coûts d'enregistrement. Si l'agrégation entre régions est activée, il doit s'agir de votre région d'origine du [Security Hub CSPM](finding-aggregation.md). Sinon, il peut s'agir de n'importe quelle région dans laquelle Security Hub CSPM est disponible et qui prend en charge l'enregistrement des ressources mondiales IAM. Nous vous recommandons d'en exécuter un StackSet pour enregistrer toutes les ressources, y compris les ressources globales IAM, dans la région d'origine ou dans une autre région sélectionnée. Exécutez ensuite une seconde StackSet pour enregistrer toutes les ressources, à l'exception des ressources globales IAM dans les autres régions.
+ **GitHub script** : Security Hub CSPM propose un [GitHubscript](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) qui active Security Hub CSPM AWS Config pour plusieurs comptes dans toutes les régions. Ce script est utile si vous ne vous êtes pas intégré à une AWS Organizations organisation ou si vous possédez des comptes membres qui ne font pas partie d'une organisation.
Pour plus d'informations, consultez le billet de blog suivant sur le *blog de AWS sécurité* : [Optimize AWS Config for AWS Security Hub CSPM pour gérer efficacement votre posture de sécurité dans le cloud](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).
## Comprendre le contrôle Config.1
Dans Security Hub CSPM, le contrôle [Config.1](config-controls.md#config-1) génère des `FAILED` résultats dans votre compte s'il AWS Config est désactivé. Il génère également des `FAILED` résultats dans votre compte s'il AWS Config est activé mais que l'enregistrement des ressources n'est pas activé.
S'il AWS Config est activé et que l'enregistrement des ressources est activé, mais que l'enregistrement des ressources n'est pas activé pour un type de ressource vérifié par un contrôle activé, Security Hub CSPM génère un `FAILED` résultat pour le contrôle Config.1. Outre ce `FAILED` résultat, Security Hub CSPM génère des `WARNING` résultats concernant le contrôle activé et les types de ressources que le contrôle contrôle. Par exemple, si vous activez le contrôle [KMS.5](kms-controls.md#kms-5) et que l'enregistrement des ressources n'est pas activé pour AWS KMS keys, Security Hub CSPM génère un `FAILED` résultat pour le contrôle Config.1. Security Hub CSPM génère également des `WARNING` résultats pour le contrôle KMS.5 et vos clés KMS.
Pour recevoir un `PASSED` résultat pour le contrôle Config.1, activez l'enregistrement des ressources pour tous les types de ressources correspondant aux contrôles activés. Désactivez également les contrôles qui ne sont pas obligatoires pour votre organisation. Cela permet de s'assurer que vous ne présentez aucune lacune de configuration lors de vos contrôles de sécurité. Cela permet également de garantir que vous recevez des informations précises sur les ressources mal configurées.
Si vous êtes l'administrateur délégué du Security Hub CSPM d'une organisation, l' AWS Config enregistrement doit être correctement configuré pour votre compte et les comptes de vos membres. Si vous utilisez l'agrégation entre régions, AWS Config l'enregistrement doit être correctement configuré dans la région d'origine et dans toutes les régions liées. Les ressources mondiales n'ont pas besoin d'être enregistrées dans les régions liées.
## Génération de règles liées à un service
Pour chaque contrôle utilisant une AWS Config règle liée à un service, Security Hub CSPM crée des instances de la règle requise dans votre environnement. AWS
Ces règles liées aux services sont spécifiques à Security Hub CSPM. Security Hub CSPM crée ces règles liées aux services même si d'autres instances des mêmes règles existent déjà. La règle liée au service est ajoutée `securityhub` avant le nom de règle d'origine et un identifiant unique après le nom de règle. Par exemple, pour la règle AWS Config gérée`vpc-flow-logs-enabled`, le nom de la règle liée au service peut être. `securityhub-vpc-flow-logs-enabled-12345`
Il existe des quotas pour le nombre de règles AWS Config gérées qui peuvent être utilisées pour évaluer les contrôles. AWS Config les règles créées par Security Hub CSPM ne sont pas prises en compte dans ces quotas. Vous pouvez activer une norme de sécurité même si vous avez déjà atteint le AWS Config quota de règles gérées dans votre compte. Pour en savoir plus sur les quotas pour AWS Config les règles, consultez la section [Limites AWS Config de service](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) du *Guide du AWS Config développeur*.
## Considérations de coût
Security Hub CSPM peut avoir un impact sur les coûts de votre enregistreur AWS Config de configuration en mettant à jour l'élément de `AWS::Config::ResourceCompliance` configuration. Des mises à jour peuvent avoir lieu chaque fois qu'un contrôle Security Hub CSPM associé à une AWS Config règle change d'état de conformité, est activé ou désactivé, ou comporte des mises à jour de paramètres. Si vous utilisez l'enregistreur de AWS Config configuration uniquement pour Security Hub CSPM et que vous n'utilisez pas cet élément de configuration à d'autres fins, nous vous recommandons de désactiver l'enregistrement dans. AWS Config Cela peut réduire vos AWS Config coûts. Vous n'avez pas besoin de vous enregistrer `AWS::Config::ResourceCompliance` pour que les contrôles de sécurité fonctionnent dans Security Hub CSPM.
[Pour plus d'informations sur les coûts associés à l'enregistrement des ressources, consultez [AWS la section Tarification et AWS Config tarification de Security Hub CSPM](https://aws.amazon.com/security-hub/pricing/).](https://aws.amazon.com/config/pricing/)
# Comprendre la configuration locale dans Security Hub CSPM
La configuration locale est la méthode par défaut utilisée par défaut pour configurer une AWS organisation dans Security Hub CSPM. Si vous n'acceptez pas et n'activez pas la configuration centralisée, votre organisation utilise la configuration locale par défaut.
Dans le cadre de la configuration locale, le compte administrateur délégué du Security Hub CSPM dispose d'un contrôle limité sur les paramètres de configuration. Les seuls paramètres que l'administrateur délégué peut appliquer sont l'activation automatique du Security Hub CSPM et des normes de sécurité par défaut dans les nouveaux comptes d'entreprise. Ces paramètres s'appliquent uniquement dans la région dans laquelle vous avez désigné le compte d'administrateur délégué. Les normes de sécurité par défaut sont AWS Foundational Security Best Practices (FSBP) et Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Les paramètres de configuration locaux ne s'appliquent pas aux comptes d'organisation existants ni aux régions autres que celle dans laquelle le compte d'administrateur délégué a été désigné.
Outre l'activation du Security Hub CSPM et des normes par défaut dans les nouveaux comptes d'organisation d'une même région, vous devez configurer les autres paramètres du Security Hub CSPM, y compris les normes et les contrôles, séparément dans chaque région et chaque compte. Comme ce processus peut être dupliqué, nous vous recommandons d'utiliser une configuration centralisée pour un environnement multi-comptes si une ou plusieurs des conditions suivantes s'appliquent à vous :
+ Vous souhaitez des paramètres de configuration différents pour les différentes parties de votre organisation (par exemple, différentes normes activées ou différents contrôles pour différentes équipes).
+ Vous opérez dans plusieurs régions et souhaitez réduire le temps et la complexité liés à la configuration du service dans ces régions.
+ Vous souhaitez que les nouveaux comptes utilisent des paramètres de configuration spécifiques lorsqu'ils rejoignent l'organisation.
+ Vous souhaitez que les comptes d'organisation héritent des paramètres de configuration spécifiques d'un compte parent ou root.
Pour plus d'informations sur la configuration centrale, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
# Comprendre la configuration centrale dans Security Hub CSPM
La configuration centrale est une fonctionnalité AWS Security Hub CSPM qui vous aide à configurer et à gérer le Security Hub CSPM sur plusieurs et. Comptes AWS Régions AWS Pour utiliser la configuration centralisée, vous devez d'abord intégrer Security Hub CSPM et. AWS Organizations Vous pouvez intégrer les services en créant une organisation et en désignant un compte administrateur Security Hub CSPM délégué pour l'organisation.
À partir du compte administrateur délégué du Security Hub CSPM, vous pouvez activer le Security Hub CSPM pour les comptes et les unités organisationnelles () OUs de votre organisation dans toutes les régions. Vous pouvez également activer, configurer et désactiver les normes de sécurité et les contrôles de sécurité individuels pour les comptes et OUs entre les régions. Vous pouvez configurer ces paramètres en quelques étapes à partir d'une région principale, appelée *région d'origine*.
Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut choisir les comptes et OUs les configurer. Si l'administrateur délégué désigne un compte membre ou une unité d'organisation comme étant *autogéré*, le membre peut configurer ses propres paramètres séparément dans chaque région. Si l'administrateur délégué désigne un compte membre ou une unité d'organisation comme étant *géré de manière centralisée*, seul l'administrateur délégué peut configurer le compte de membre ou l'unité d'organisation dans toutes les régions. Vous pouvez désigner tous les OUs comptes de votre organisation comme étant gérés de manière centralisée, tous autogérés ou une combinaison des deux.
Pour configurer des comptes gérés de manière centralisée, l'administrateur délégué utilise les politiques de configuration CSPM de Security Hub. Les politiques de configuration permettent à l'administrateur délégué de spécifier si Security Hub CSPM est activé ou désactivé, et quelles normes et contrôles sont activés ou désactivés. Ils peuvent également être utilisés pour personnaliser les paramètres de certaines commandes.
Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées. L'administrateur délégué spécifie la région d'origine de l'organisation et les régions associées avant de commencer à utiliser la configuration centrale. La spécification de régions liées est facultative. L'administrateur délégué peut créer une politique de configuration unique pour l'ensemble de l'organisation, ou créer plusieurs politiques de configuration pour configurer des paramètres variables pour différents comptes etOUs.
**Astuce**
Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub CSPM séparément dans chaque compte et région. C'est ce qu'on appelle *la configuration locale*. Dans le cadre de la configuration locale, l'administrateur délégué peut automatiquement activer Security Hub CSPM et un ensemble limité de normes de sécurité dans les nouveaux comptes d'organisation de la région actuelle. La configuration locale ne s'applique pas aux comptes d'organisation existants ni aux régions autres que la région actuelle. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.
Cette section fournit une vue d'ensemble de la configuration centrale.
## Avantages de l'utilisation de la configuration centralisée
Les avantages de la configuration centralisée sont les suivants :
**Simplifier la configuration du service et des fonctionnalités du Security Hub CSPM**
Lorsque vous utilisez la configuration centralisée, Security Hub CSPM vous guide tout au long du processus de configuration des meilleures pratiques de sécurité pour votre entreprise. Il déploie également les politiques de configuration qui en résultent sur des comptes spécifiés et OUs automatiquement. Si vous disposez de paramètres Security Hub CSPM existants, tels que l'activation automatique de nouveaux contrôles de sécurité, vous pouvez les utiliser comme point de départ pour vos politiques de configuration. En outre, la page **de configuration** de la console Security Hub CSPM affiche un résumé en temps réel de vos politiques de configuration et des comptes OUs utilisés pour chaque politique.
**Configuration sur plusieurs comptes et régions**
Vous pouvez utiliser la configuration centralisée pour configurer Security Hub CSPM sur plusieurs comptes et régions. Cela permet de garantir que chaque partie de votre organisation conserve une configuration cohérente et une couverture de sécurité adéquate.
**Adaptez différentes configurations à différents comptes et OUs**
Grâce à la configuration centralisée, vous pouvez choisir de configurer les comptes de votre organisation de différentes OUs manières. Par exemple, vos comptes de test et de production peuvent nécessiter des configurations différentes. Vous pouvez également créer une politique de configuration qui couvre les nouveaux comptes lorsqu'ils rejoignent l'organisation.
**Empêcher la dérive de configuration**
Une dérive de configuration se produit lorsqu'un utilisateur apporte une modification à un service ou à une fonctionnalité qui entre en conflit avec les sélections de l'administrateur délégué. La configuration centrale empêche cette dérive. Lorsque vous désignez un compte ou une unité d'organisation comme étant géré de manière centralisée, il n'est configurable que par l'administrateur délégué de l'organisation. Si vous préférez qu'un compte ou une unité d'organisation spécifique configure ses propres paramètres, vous pouvez le désigner comme autogéré.
## Quand utiliser la configuration centralisée ?
La configuration centralisée est particulièrement avantageuse pour les AWS environnements qui incluent plusieurs comptes Security Hub CSPM. Il est conçu pour vous aider à gérer de manière centralisée le Security Hub CSPM pour plusieurs comptes.
Vous pouvez utiliser la configuration centralisée pour configurer le service Security Hub CSPM, les normes de sécurité et les contrôles de sécurité. Vous pouvez également l'utiliser pour personnaliser les paramètres de certaines commandes. Pour plus d'informations sur les normes de sécurité, consultez[Comprendre les normes de sécurité dans Security Hub CSPM](standards-view-manage.md). Pour plus d'informations sur les contrôles de sécurité, consultez[Comprendre les contrôles de sécurité dans Security Hub CSPM](controls-view-manage.md).
## Termes et concepts de configuration centrale
La compréhension des termes et concepts clés suivants peut vous aider à utiliser la configuration centrale de Security Hub CSPM.
**Configuration centrale**
Une fonctionnalité Security Hub CSPM qui aide le compte administrateur Security Hub CSPM délégué d'une organisation à configurer le service Security Hub CSPM, les normes de sécurité et les contrôles de sécurité sur plusieurs comptes et régions. Pour configurer ces paramètres, l'administrateur délégué crée et gère les politiques de configuration Security Hub CSPM pour les comptes gérés de manière centralisée au sein de son organisation. Les comptes autogérés peuvent configurer leurs propres paramètres séparément dans chaque région. Pour utiliser la configuration centralisée, vous devez intégrer Security Hub CSPM et. AWS Organizations
**Région d'origine**
Région AWS À partir duquel l'administrateur délégué configure le Security Hub CSPM de manière centralisée, en créant et en gérant des politiques de configuration. Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées.
La région d'origine sert également de région d'agrégation CSPM du Security Hub, recevant les résultats, les informations et autres données des régions liées.
Les régions AWS introduites le 20 mars 2019 ou après cette date sont appelées régions optionnelles. Une région optionnelle ne peut pas être la région d'origine, mais elle peut être une région liée. Pour obtenir la liste des régions optionnelles, consultez la section [Considérations à prendre en compte avant d'activer et de désactiver les régions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) dans le Guide de *référence sur la gestion des AWS comptes*.
**Région liée**
Et Région AWS qui est configurable depuis la région d'origine. Les politiques de configuration sont créées par l'administrateur délégué dans la région d'origine. Les politiques entrent en vigueur dans la région d'origine et dans toutes les régions associées. La spécification de régions liées est facultative.
Une région liée envoie également des résultats, des informations et d'autres données à la région d'origine.
Les régions AWS introduites le 20 mars 2019 ou après cette date sont appelées régions optionnelles. Vous devez activer une telle région pour un compte avant qu'une politique de configuration puisse lui être appliquée. Le compte de gestion des Organizations peut activer l'option « Régions » pour un compte membre. Pour plus d'informations, voir [Spécifier les comptes que Régions AWS votre compte peut utiliser](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) dans le *Guide de référence sur la gestion des AWS comptes*.
**Cible**
Une Compte AWS unité organisationnelle (UO) ou la racine de l'organisation.
**Politique de configuration CSPM de Security Hub**
Ensemble de paramètres Security Hub CSPM que l'administrateur délégué peut configurer pour des cibles gérées de manière centralisée. Cela inclut notamment les éléments suivants :
+ S'il faut activer ou désactiver Security Hub CSPM.
+ S'il faut activer une ou plusieurs [normes de sécurité](standards-reference.md).
+ Quels [contrôles de sécurité](securityhub-controls-reference.md) activer dans le cadre des normes activées. L'administrateur délégué peut le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub CSPM désactive tous les autres contrôles (y compris les nouveaux contrôles lorsqu'ils sont publiés). L'administrateur délégué peut également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub CSPM active tous les autres contrôles (y compris les nouveaux contrôles lorsqu'ils sont publiés).
+ Vous pouvez éventuellement [personnaliser les paramètres](custom-control-parameters.md) pour sélectionner les contrôles activés selon les normes activées.
Une politique de configuration prend effet dans la région d'origine et dans toutes les régions associées une fois qu'elle est associée à au moins un compte, une unité organisationnelle (UO) ou la racine.
Sur la console Security Hub CSPM, l'administrateur délégué peut choisir la politique de configuration recommandée par Security Hub CSPM ou créer des politiques de configuration personnalisées. Avec l'API CSPM de Security Hub AWS CLI, l'administrateur délégué ne peut créer que des politiques de configuration personnalisées. L'administrateur délégué peut créer un maximum de 20 politiques de configuration personnalisées.
Dans la politique de configuration recommandée, Security Hub CSPM, la norme AWS Foundational Security Best Practices (FSBP) et tous les contrôles FSBP existants et nouveaux sont activés. Les contrôles qui acceptent des paramètres utilisent les valeurs par défaut. La politique de configuration recommandée s'applique à l'ensemble de l'organisation.
Pour appliquer différents paramètres à l'organisation ou appliquer différentes politiques de configuration à différents comptes et OUs créer une politique de configuration personnalisée.
**Configuration locale**
Type de configuration par défaut pour une organisation, après avoir intégré Security Hub CSPM et. AWS Organizations Avec la configuration locale, l'administrateur délégué peut choisir d'activer automatiquement le Security Hub CSPM et les [normes de sécurité par défaut dans les](securityhub-auto-enabled-standards.md) *nouveaux* comptes d'organisation de la région actuelle. Si l'administrateur délégué active automatiquement les normes par défaut, tous les contrôles inclus dans ces normes sont également automatiquement activés avec les paramètres par défaut pour les nouveaux comptes d'organisation. Ces paramètres ne s'appliquent pas aux comptes existants. Une modification de la configuration est donc possible une fois qu'un compte a rejoint l'organisation. La désactivation de contrôles spécifiques faisant partie des normes par défaut et la configuration de normes et de contrôles supplémentaires doivent être effectuées séparément dans chaque compte et région.
La configuration locale ne prend pas en charge l'utilisation de politiques de configuration. Pour utiliser les politiques de configuration, vous devez passer à la configuration centralisée.
**Gestion manuelle des comptes**
Si vous n'intégrez pas Security Hub CSPM à Security Hub AWS Organizations ou si vous possédez un compte autonome, vous devez définir les paramètres de chaque compte séparément dans chaque région. La gestion manuelle des comptes ne prend pas en charge l'utilisation de politiques de configuration.
**Configuration centrale APIs**
Opérations Security Hub CSPM que seul l'administrateur CSPM délégué au Security Hub peut utiliser dans la région d'origine pour gérer les politiques de configuration des comptes gérés de manière centralisée. Les opérations incluent :
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`
**Spécifique au compte APIs**
Opérations CSPM du Security Hub qui peuvent être utilisées pour activer ou désactiver le Security Hub CSPM, les normes et les contrôles sur une base donnée. account-by-account Ces opérations sont utilisées dans chaque région.
Les comptes autogérés peuvent utiliser des opérations spécifiques au compte pour configurer leurs propres paramètres. Les comptes gérés de manière centralisée ne peuvent pas utiliser les opérations spécifiques suivantes dans la région d'origine et dans les régions associées. Dans ces régions, seul l'administrateur délégué peut configurer des comptes gérés de manière centralisée par le biais d'opérations de configuration et de politiques de configuration centralisées.
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Pour vérifier l'état du compte, le propriétaire d'un compte géré de manière centralisée *peut* utiliser n'importe quelle `Get` `Describe` opération de l'API Security Hub CSPM.
Si vous utilisez la configuration locale ou la gestion manuelle des comptes, ces opérations spécifiques au compte peuvent être utilisées au lieu d'une configuration centralisée.
Les comptes autogérés peuvent également utiliser `*Invitations` des `*Members` opérations. Toutefois, nous recommandons que les comptes autogérés n'utilisent pas ces opérations. Les associations de politiques peuvent échouer si un compte membre possède ses propres membres qui font partie d'une organisation différente de celle de l'administrateur délégué.
**Unité d'organisation (UO)**
Dans AWS Organizations and Security Hub CSPM, un conteneur pour un groupe de. Comptes AWS Une unité organisationnelle (UO) peut également en contenir d'autres OUs, ce qui vous permet de créer une hiérarchie qui ressemble à une arborescence renversée, avec une unité d'organisation parent en haut et des OUs branches allant vers le bas, pour aboutir à des comptes qui sont les feuilles de l'arbre. Une unité organisationnelle peut avoir exactement un parent, et chaque compte d'organisation peut être membre d'une seule unité organisationnelle.
Vous pouvez gérer OUs dans AWS Organizations ou AWS Control Tower. Pour plus d'informations, voir [Gestion des unités organisationnelles](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) dans le *Guide de l'AWS Organizations utilisateur* ou [Gouverner les organisations et les comptes avec AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) dans le *Guide de AWS Control Tower l'utilisateur*.
L'administrateur délégué peut associer des politiques de configuration à des comptes spécifiques ou à la racine pour couvrir tous les comptes et OUs au sein d'une organisation. OUs
**Géré de manière centralisée**
Une cible que seul l'administrateur délégué peut configurer dans toutes les régions à l'aide de politiques de configuration.
Le compte d'administrateur délégué indique si une cible est gérée de manière centralisée. L'administrateur délégué peut également modifier le statut d'une cible de gestion centralisée à autogéré, ou inversement.
**Autogéré**
Une cible qui gère ses propres paramètres Security Hub CSPM. Une cible autogérée utilise des opérations spécifiques au compte pour configurer Security Hub CSPM séparément dans chaque région. Cela contraste avec les cibles gérées de manière centralisée, qui ne sont configurables que par l'administrateur délégué dans toutes les régions via des politiques de configuration.
Le compte d'administrateur délégué indique si une cible est autogérée. L'administrateur délégué peut appliquer un comportement autogéré à une cible. Un compte ou une unité d'organisation peut également hériter d'un comportement autogéré d'un parent.
Le compte d'administrateur délégué peut lui-même être un compte autogéré. Le compte d'administrateur délégué peut faire passer le statut d'une cible d'autogéré à géré de manière centralisée, ou inversement.
**Association de politiques de configuration**
Lien entre une politique de configuration et un compte, une unité organisationnelle (UO) ou un root. Lorsqu'une association de politiques existe, le compte, l'unité d'organisation ou le root utilise les paramètres définis par la politique de configuration. Une association existe dans l'un ou l'autre des cas suivants :
+ Lorsque l'administrateur délégué applique directement une politique de configuration à un compte, à une unité d'organisation ou à un root
+ Lorsqu'un compte ou une unité d'organisation hérite d'une politique de configuration d'une unité d'organisation parent ou de la racine
Une association existe jusqu'à ce qu'une configuration différente soit appliquée ou héritée.
**Politique de configuration appliquée**
Type d'association de politique de configuration dans lequel l'administrateur délégué applique directement une politique de configuration aux comptes cibles OUs, ou à la racine. Les cibles sont configurées conformément à la politique de configuration, et seul l'administrateur délégué peut modifier leur configuration. Si elle est appliquée à root, la politique de configuration s'applique à tous les comptes et OUs au sein de l'organisation qui n'utilisent pas de configuration différente par le biais d'une application ou d'un héritage du parent le plus proche.
L'administrateur délégué peut également appliquer une configuration autogérée à des comptes spécifiques ou à l'utilisateur root. OUs
**Politique de configuration héritée**
Type d'association de politique de configuration dans lequel un compte ou une unité d'organisation adopte la configuration de l'unité d'organisation parent la plus proche ou de la racine. Si une politique de configuration n'est pas directement appliquée à un compte ou à une unité d'organisation, elle hérite de la configuration du parent le plus proche. Tous les éléments d'une politique sont hérités. En d'autres termes, un compte ou une unité d'organisation ne peut pas choisir d'hériter de manière sélective de certaines parties d'une politique. Si le parent le plus proche est autogéré, le compte enfant ou l'unité d'organisation hérite du comportement autogéré du parent.
L'héritage ne peut pas remplacer une configuration appliquée. En d'autres termes, si une politique de configuration ou une configuration autogérée est directement appliquée à un compte ou à une unité d'organisation, elle utilise cette configuration et n'hérite pas de la configuration du parent.
**Racine**
Dans AWS Organizations and Security Hub CSPM, le nœud parent de niveau supérieur d'une organisation. Si l'administrateur délégué applique une politique de configuration à root, celle-ci est associée à tous les comptes et OUs au sein de l'organisation, sauf s'ils utilisent une stratégie différente, par le biais d'une application ou d'un héritage, ou s'ils sont désignés comme autogérés. Si l'administrateur désigne le root comme étant autogéré, tous les comptes et OUs ceux de l'organisation sont autogérés, sauf s'ils utilisent une politique de configuration via une application ou un héritage. Si le root est autogéré et qu'aucune politique de configuration n'existe actuellement, tous les nouveaux comptes de l'organisation conservent leurs paramètres actuels.
Les nouveaux comptes qui rejoignent une organisation sont considérés comme des comptes root jusqu'à ce qu'ils soient affectés à une unité d'organisation spécifique. Si aucun nouveau compte n'est attribué à une unité d'organisation, il hérite de la configuration racine, sauf si l'administrateur délégué le désigne comme un compte autogéré.
# Activation de la configuration centralisée dans Security Hub CSPM
Le compte administrateur délégué du AWS Security Hub CSPM peut utiliser la configuration centrale pour configurer le Security Hub CSPM, les normes et les contrôles pour plusieurs comptes et unités organisationnelles () répartis sur plusieurs comptes et unités organisationnelles (). OUs Régions AWS
Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
Cette section explique les conditions préalables à la configuration centralisée et explique comment commencer à l'utiliser.
## Prérequis pour une configuration centralisée
Avant de commencer à utiliser la configuration centralisée, vous devez intégrer Security Hub CSPM à une région d'origine AWS Organizations et lui désigner une région d'origine. Si vous utilisez la console Security Hub CSPM, ces prérequis sont inclus dans le flux de travail optionnel pour la configuration centralisée.
### Intégrer aux Organisations
Vous devez intégrer Security Hub CSPM et Organizations pour utiliser la configuration centralisée.
Pour intégrer ces services, vous devez commencer par créer une organisation dans Organizations. À partir du compte de gestion Organizations, vous désignez ensuite un compte d'administrateur délégué Security Hub CSPM. Pour obtenir des instructions, veuillez consulter [Intégration de Security Hub CSPM à AWS Organizations](designate-orgs-admin-account.md).
Assurez-vous de désigner votre administrateur délégué dans la **région d'origine de votre choix**. Lorsque vous commencez à utiliser la configuration centralisée, le même administrateur délégué est également automatiquement défini dans toutes les régions liées. Le compte de gestion des Organisations *ne peut pas* être défini comme compte d'administrateur délégué.
**Important**
Lorsque vous utilisez la configuration centralisée, vous ne pouvez pas utiliser la console Security Hub CSPM ou le Security Hub CSPM APIs pour modifier ou supprimer le compte d'administrateur délégué. Si le compte de gestion des Organizations est utilisé AWS Organizations APIs pour modifier ou supprimer l'administrateur délégué du Security Hub CSPM, le Security Hub CSPM arrête automatiquement la configuration centrale. Vos politiques de configuration sont également dissociées et supprimées. Les comptes membres conservent la configuration qu'ils avaient avant le changement ou la suppression de l'administrateur délégué.
### Désigner une région d'origine
Vous devez désigner une région d'origine pour utiliser la configuration centralisée. La région d'origine est la région à partir de laquelle l'administrateur délégué configure l'organisation.
**Note**
La région d'origine ne peut pas être une région désignée comme région optionnelle. AWS Une région optionnelle est désactivée par défaut. Pour obtenir la liste des régions optionnelles, consultez la section [Considérations à prendre en compte avant d'activer et de désactiver les régions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) dans le Guide de *référence sur la gestion des AWS comptes*.
Vous pouvez éventuellement spécifier une ou plusieurs régions liées configurables à partir de la région d'origine.
L'administrateur délégué peut créer et gérer des politiques de configuration uniquement à partir de la région d'origine. Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées. Vous ne pouvez pas créer une politique de configuration qui s'applique uniquement à un sous-ensemble de ces régions, et pas à d'autres. Les contrôles impliquant des ressources globales font exception à cette règle. Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Pour de plus amples informations, veuillez consulter [Contrôles utilisant des ressources globales](controls-to-disable.md#controls-to-disable-global-resources).
La région d'origine est également la région d'agrégation CSPM de votre Security Hub qui reçoit les résultats, les informations et autres données des régions liées.
Si vous avez déjà défini une région d'agrégation pour l'agrégation entre régions, il s'agit de votre région d'origine par défaut pour la configuration centrale. Vous pouvez modifier la région d'origine avant de commencer à utiliser la configuration centrale en supprimant votre agrégateur de recherche actuel et en créant un nouveau dans la région d'origine de votre choix. Un agrégateur de résultats est une ressource Security Hub CSPM qui indique la région d'origine et les régions associées.
Pour désigner une région d'origine, consultez [les étapes de définition d'une région d'agrégation](finding-aggregation-enable.md). Si vous possédez déjà une région d'origine, vous pouvez appeler l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)API pour en savoir plus, notamment pour savoir quelles régions y sont actuellement liées.
## Instructions pour activer la configuration centralisée
Choisissez votre méthode préférée et suivez les étapes pour activer la configuration centralisée pour votre organisation.
------
#### [ Security Hub CSPM console ]
**Pour activer la configuration centrale (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**. Choisissez ensuite **Démarrer la configuration centrale**.
Si vous vous inscrivez à Security Hub CSPM, choisissez **Go to Security Hub** CSPM.
1. Sur la page **Désigner un administrateur délégué**, sélectionnez votre compte d'administrateur délégué ou entrez son identifiant de compte. Le cas échéant, nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité. Choisissez **Définir un administrateur délégué**.
1. Sur la page **Centraliser l'organisation**, dans la section **Régions**, sélectionnez votre région d'origine. Vous devez être connecté à votre région d'origine pour continuer. Si vous avez déjà défini une région d'agrégation pour l'agrégation entre régions, elle est affichée en tant que région d'origine. Pour modifier la région d'origine, choisissez **Modifier les paramètres de la région**. Vous pouvez ensuite sélectionner votre région d'origine préférée et revenir à ce flux de travail.
1. Sélectionnez au moins une région pour créer un lien vers la région d'origine. Vous pouvez éventuellement indiquer si vous souhaitez lier automatiquement les futures régions prises en charge à la région d'origine. Les régions que vous sélectionnez ici seront configurables depuis la région d'origine par l'administrateur délégué. Les politiques de configuration entrent en vigueur dans votre région d'origine et dans toutes les régions associées.
1. Choisissez **Confirmer et continuez**.
1. Vous pouvez désormais utiliser la configuration centralisée. Continuez à suivre les instructions de la console pour créer votre première politique de configuration. Si vous n'êtes pas encore prêt à créer une politique de configuration, choisissez **Je ne suis pas encore prêt à configurer**. Vous pouvez créer une politique ultérieurement en choisissant **Paramètres** et **configuration** dans le volet de navigation. Pour obtenir des instructions sur la création d'une politique de configuration, consultez[Création et association de politiques de configuration](create-associate-policy.md).
------
#### [ Security Hub CSPM API ]
**Pour activer la configuration centrale (API)**
1. À l'aide des informations d'identification du compte administrateur délégué, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API depuis la région d'origine.
1. Réglez le `AutoEnable` champ sur`false`.
1. Définissez le `ConfigurationType` champ de l'`OrganizationConfiguration`objet sur`CENTRAL`. Cette action a les conséquences suivantes :
+ Désigne le compte d'appel en tant qu'administrateur délégué du Security Hub CSPM dans toutes les régions liées.
+ Active le Security Hub CSPM dans le compte d'administrateur délégué dans toutes les régions liées.
+ Désigne le compte appelant en tant qu'administrateur délégué du Security Hub CSPM pour les comptes nouveaux et existants qui utilisent le Security Hub CSPM et appartiennent à l'organisation. Cela se produit dans la région d'origine et dans toutes les régions associées. Le compte appelant est défini comme administrateur délégué pour les nouveaux comptes d'organisation uniquement s'ils sont associés à une politique de configuration dans laquelle Security Hub CSPM est activé. Le compte d'appel est défini comme administrateur délégué pour les comptes d'organisation existants uniquement s'ils ont déjà activé Security Hub CSPM.
+ Définit [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)sur `false` dans toutes les régions liées, et définit [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)sur `NONE` dans la région d'origine et toutes les régions liées. Ces paramètres ne sont pas pertinents dans les régions d'origine et associées lorsque vous utilisez la configuration centralisée, mais vous pouvez activer automatiquement le Security Hub CSPM et les normes de sécurité par défaut dans les comptes de l'organisation en utilisant des politiques de configuration.
1. Vous pouvez désormais utiliser la configuration centralisée. L'administrateur délégué peut créer des politiques de configuration pour configurer Security Hub CSPM dans votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration, consultez[Création et association de politiques de configuration](create-associate-policy.md).
**Exemple de demande d'API :**
```
{
"AutoEnable": false,
"OrganizationConfiguration": {
"ConfigurationType": "CENTRAL"
}
}
```
------
#### [ AWS CLI ]
**Pour activer la configuration centrale (AWS CLI)**
1. À l'aide des informations d'identification du compte administrateur délégué, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)commande depuis la région d'origine.
1. Incluez le paramètre `no-auto-enable`.
1. Définissez le `ConfigurationType` champ de l'`organization-configuration`objet sur`CENTRAL`. Cette action a les conséquences suivantes :
+ Désigne le compte d'appel en tant qu'administrateur délégué du Security Hub CSPM dans toutes les régions liées.
+ Active le Security Hub CSPM dans le compte d'administrateur délégué dans toutes les régions liées.
+ Désigne le compte appelant en tant qu'administrateur délégué du Security Hub CSPM pour les comptes nouveaux et existants qui utilisent le Security Hub CSPM et appartiennent à l'organisation. Cela se produit dans la région d'origine et dans toutes les régions associées. Le compte d'appel est défini comme administrateur délégué pour les nouveaux comptes d'organisation uniquement s'ils sont associés à une politique de configuration dans laquelle Security Hub est activé. Le compte d'appel est défini comme administrateur délégué pour les comptes d'organisation existants uniquement s'ils ont déjà activé Security Hub CSPM.
+ Définit l'option d'activation automatique sur « [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)dans toutes les régions liées », et sur « `NONE` dans la région [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)d'origine » et dans toutes les régions liées. Ces paramètres ne sont pas pertinents dans les régions d'origine et associées lorsque vous utilisez la configuration centralisée, mais vous pouvez activer automatiquement le Security Hub CSPM et les normes de sécurité par défaut dans les comptes de l'organisation en utilisant des politiques de configuration.
1. Vous pouvez désormais utiliser la configuration centralisée. L'administrateur délégué peut créer des politiques de configuration pour configurer Security Hub CSPM dans votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration, consultez[Création et association de politiques de configuration](create-associate-policy.md).
**Exemple de commande :**
```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```
------
# Cibles gérées de manière centralisée et cibles autogérées
*Lorsque vous activez la configuration centralisée, l'administrateur délégué du AWS Security Hub CSPM peut désigner chaque compte d'organisation, chaque unité organisationnelle (UO) et la racine comme étant gérés de *manière centralisée ou autogérée*.* Le type de gestion d'une cible détermine la manière dont vous pouvez spécifier ses paramètres Security Hub CSPM.
Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
Cette section explique les différences entre une désignation gérée de manière centralisée et une désignation autogérée et explique comment choisir le type de gestion d'un compte, d'une unité d'organisation ou de la racine.
**Autogéré**
Le propriétaire d'un compte autogéré, d'une unité d'organisation ou d'un root doit configurer ses paramètres séparément dans chacun Région AWS d'eux. L'administrateur délégué ne peut pas créer de politiques de configuration pour les cibles autogérées.
**Géré de manière centralisée**
Seul l'administrateur délégué du Security Hub CSPM peut configurer les paramètres des comptes gérés de manière centralisée ou du root dans la région d'origine et les régions associées. OUs Les politiques de configuration peuvent être associées à des comptes gérés de manière centralisée et OUs.
L'administrateur délégué peut changer le statut d'une cible entre autogéré et géré de manière centralisée. Par défaut, tous les comptes et unités d'organisation sont autogérés lorsque vous démarrez la configuration centralisée via l'API Security Hub CSPM. Dans la console, le type de gestion dépend de votre première politique de configuration. Les comptes et OUs ceux que vous associez à votre premier contrat sont gérés de manière centralisée. Les autres comptes OUs sont autogérés par défaut.
Si vous associez une politique de configuration à un compte précédemment autogéré, les paramètres de stratégie remplacent la désignation autogérée. Le compte est géré de manière centralisée et adopte les paramètres reflétés dans la politique de configuration.
Si vous remplacez un compte géré de manière centralisée par un compte autogéré, les paramètres précédemment appliqués au compte par le biais d'une politique de configuration restent en place. Par exemple, un compte géré de manière centralisée peut initialement être associé à une politique activant Security Hub CSPM, activant les meilleures pratiques de sécurité AWS fondamentales et désactivant la version .1. CloudTrail Si vous indiquez ensuite que le compte est autogéré, tous les paramètres restent inchangés. Toutefois, le titulaire du compte peut modifier indépendamment les paramètres du compte à l'avenir.
Les comptes enfants OUs peuvent hériter du comportement autogéré d'un parent autogéré, de la même manière que les comptes enfants et OUs peuvent hériter des politiques de configuration d'un parent géré de manière centralisée. Pour de plus amples informations, veuillez consulter [Association des politiques par le biais de l'application et de l'héritage](configuration-policies-overview.md#policy-association).
Un compte ou une unité d'organisation autogéré ne peut pas hériter d'une politique de configuration d'un nœud parent ou de la racine. Par exemple, si vous souhaitez que tous les OUs comptes de votre organisation héritent d'une politique de configuration depuis la racine, vous devez remplacer le type de gestion des nœuds autogérés par des nœuds gérés de manière centralisée.
## Options pour configurer les paramètres dans les comptes autogérés
Les comptes autogérés doivent configurer leurs propres paramètres séparément dans chaque région.
Les propriétaires de comptes autogérés peuvent invoquer les opérations suivantes de l'API Security Hub CSPM dans chaque région pour configurer leurs paramètres :
+ `EnableSecurityHub`et `DisableSecurityHub` pour activer ou désactiver le service Security Hub CSPM (si un compte autogéré dispose d'un administrateur Security Hub CSPM délégué, l'administrateur doit [dissocier le compte avant que le propriétaire du compte](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) puisse désactiver Security Hub CSPM).
+ `BatchEnableStandards`et `BatchDisableStandards` pour activer ou désactiver les normes
+ `BatchUpdateStandardsControlAssociations`ou `UpdateStandardsControl` pour activer ou désactiver les commandes
Les comptes autogérés peuvent également utiliser `*Invitations` des `*Members` opérations. Toutefois, nous recommandons que les comptes autogérés n'utilisent pas ces opérations. Les associations de politiques peuvent échouer si un compte membre possède ses propres membres qui font partie d'une organisation différente de celle de l'administrateur délégué.
Pour obtenir une description des actions de l'API CSPM de Security Hub, consultez le document de référence de l'API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).
Les comptes autogérés peuvent également utiliser la console Security Hub CSPM ou AWS CLI configurer leurs paramètres dans chaque région.
Les comptes autogérés ne peuvent invoquer aucune politique de configuration ou association de politiques APIs liée à Security Hub CSPM. Seul l'administrateur délégué peut invoquer la configuration centralisée APIs et utiliser des politiques de configuration pour configurer des comptes gérés de manière centralisée.
## Choix du type de gestion d'une cible
Choisissez votre méthode préférée et suivez les étapes pour désigner un compte ou une unité d'organisation comme étant géré de manière centralisée ou autogérée dans AWS Security Hub CSPM.
------
#### [ Security Hub CSPM console ]
**Pour choisir le type de gestion d'un compte ou d'une unité d'organisation**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Choisissez **Configuration**.
1. Dans l'onglet **Organisation**, sélectionnez le compte ou l'unité d'organisation cible. Choisissez **Modifier**.
1. Sur la page **Définir la configuration**, pour **Type de gestion**, choisissez Gestion **centralisée** si vous souhaitez que l'administrateur délégué configure le compte ou l'unité d'organisation cible. Choisissez ensuite **Appliquer une politique spécifique** si vous souhaitez associer une politique de configuration existante à la cible. Choisissez **Hériter de mon organisation** si vous souhaitez que la cible hérite de la configuration de son parent le plus proche. Choisissez **Autogéré** si vous souhaitez que le compte ou l'unité d'organisation configure ses propres paramètres.
1. Choisissez **Suivant**. Passez en revue vos modifications, puis choisissez **Enregistrer**.
------
#### [ Security Hub CSPM API ]
**Pour choisir le type de gestion d'un compte ou d'une unité d'organisation**
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API depuis le compte d'administrateur délégué CSPM de Security Hub dans la région d'origine.
1. Dans le `ConfigurationPolicyIdentifier` champ, indiquez `SELF_MANAGED_SECURITY_HUB` si vous souhaitez que le compte ou l'unité d'organisation contrôle ses propres paramètres. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration appropriée si vous souhaitez que l'administrateur délégué contrôle les paramètres du compte ou de l'unité d'organisation.
1. Pour le `Target` champ, indiquez l' Compte AWS ID, l'ID de l'UO ou l'ID racine de la cible dont vous souhaitez modifier le type de gestion. Cela associe le comportement autogéré ou la politique de configuration spécifiée à la cible. Les comptes enfants de la cible peuvent hériter du comportement autogéré ou de la politique de configuration.
**Exemple de demande d'API pour désigner un compte autogéré :**
```
{
"ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
"Target": {"AccountId": "123456789012"}
}
```
------
#### [ AWS CLI ]
**Pour choisir le type de gestion d'un compte ou d'une unité d'organisation**
1. Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.
1. Dans le `configuration-policy-identifier` champ, indiquez `SELF_MANAGED_SECURITY_HUB` si vous souhaitez que le compte ou l'unité d'organisation contrôle ses propres paramètres. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration appropriée si vous souhaitez que l'administrateur délégué contrôle les paramètres du compte ou de l'unité d'organisation.
1. Pour le `target` champ, indiquez l' Compte AWS ID, l'ID de l'UO ou l'ID racine de la cible dont vous souhaitez modifier le type de gestion. Cela associe le comportement autogéré ou la politique de configuration spécifiée à la cible. Les comptes enfants de la cible peuvent hériter du comportement autogéré ou de la politique de configuration.
**Exemple de commande pour désigner un compte autogéré :**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```
------
# Fonctionnement des politiques de configuration dans Security Hub CSPM
L'administrateur délégué du AWS Security Hub CSPM peut créer des politiques de configuration pour configurer le Security Hub CSPM, les normes de sécurité et les contrôles de sécurité pour une organisation. Après avoir créé une politique de configuration, l'administrateur délégué peut l'associer à des comptes spécifiques, à des unités organisationnelles (OUs) ou à la racine. La politique prend ensuite effet dans les comptes spécifiés OUs, ou à la racine.
Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
Cette section fournit une vue d'ensemble détaillée des politiques de configuration.
## Considérations relatives aux politiques
Avant de créer une politique de configuration dans Security Hub CSPM, prenez en compte les informations suivantes.
+ **Les politiques de configuration doivent être associées pour prendre effet** : après avoir créé une politique de configuration, vous pouvez l'associer à un ou plusieurs comptes, unités organisationnelles (OUs) ou à la racine. Une politique de configuration peut être associée à des comptes, OUs par le biais d'une application directe ou par héritage d'une unité d'organisation parent.
+ **Un compte ou une unité d'organisation ne peut être associé qu'à une seule stratégie de configuration** : pour éviter tout conflit de paramètres, un compte ou une unité d'organisation ne peut être associé qu'à une seule politique de configuration à la fois. Un compte ou une unité d'organisation peut également être autogéré.
+ **Les politiques de configuration sont complètes** : les politiques de configuration fournissent une spécification complète des paramètres. Par exemple, un compte enfant ne peut pas accepter les paramètres de certains contrôles d'une politique et les paramètres d'autres contrôles d'une autre politique. Lorsque vous associez une politique à un compte enfant, assurez-vous que la politique spécifie tous les paramètres que vous souhaitez que le compte enfant utilise.
+ **Les politiques de configuration ne peuvent pas être annulées** : il n'est pas possible d'annuler une politique de configuration une fois que vous l'avez associée à des comptes ou. OUs Par exemple, si vous associez une politique de configuration qui désactive les CloudWatch contrôles à un compte spécifique, puis que vous dissociez cette politique, les CloudWatch contrôles continuent d'être désactivés dans ce compte. Pour réactiver CloudWatch les contrôles, vous pouvez associer le compte à une nouvelle politique qui active les contrôles. Vous pouvez également transformer le compte en compte autogéré et activer chaque CloudWatch contrôle du compte.
+ **Les politiques de configuration prennent effet dans votre région d'origine et dans toutes les régions liées** : une politique de configuration affecte tous les comptes associés dans la région d'origine et toutes les régions liées. Vous ne pouvez pas créer une politique de configuration qui ne s'applique que dans certaines de ces régions et pas dans d'autres. Les [contrôles qui utilisent des ressources globales](controls-to-disable.md#controls-to-disable-global-resources) font exception à cette règle. Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine.
Les régions AWS introduites le 20 mars 2019 ou après cette date sont appelées régions optionnelles. Vous devez activer une telle région pour un compte avant qu'une politique de configuration n'y prenne effet. Le compte de gestion des Organizations peut activer l'option « Régions » pour un compte membre. Pour obtenir des instructions sur l'activation des régions optionnelles, voir [Spécifier les régions que Régions AWS votre compte peut utiliser](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) dans le *Guide de référence AWS sur la gestion des comptes*.
Si votre politique configure un contrôle qui n'est pas disponible dans la région d'origine ou dans une ou plusieurs régions liées, Security Hub CSPM ignore la configuration du contrôle dans les régions non disponibles mais applique la configuration dans les régions où le contrôle est disponible. Vous n'êtes pas couvert pour un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.
+ **Les politiques de configuration sont des ressources** : en tant que ressource, une politique de configuration possède un Amazon Resource Name (ARN) et un identifiant unique universel (UUID). L'ARN utilise le format suivant : `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID` Une configuration autogérée ne possède ni ARN ni UUID. L'identifiant d'une configuration autogérée est`SELF_MANAGED_SECURITY_HUB`.
## Types de politiques de configuration
Chaque politique de configuration définit les paramètres suivants :
+ Activez ou désactivez Security Hub CSPM.
+ Activez une ou plusieurs [normes de sécurité](standards-reference.md).
+ Indiquez quels [contrôles de sécurité](securityhub-controls-reference.md) sont activés dans le cadre des normes activées. Vous pouvez le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub CSPM désactive tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés. Vous pouvez également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub CSPM active tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés.
+ Vous pouvez éventuellement [personnaliser les paramètres](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) pour sélectionner les contrôles activés selon les normes activées.
Les politiques de configuration centrales n'incluent pas les paramètres de l' AWS Config enregistreur. Vous devez activer AWS Config et activer séparément l'enregistrement pour les ressources requises afin que Security Hub CSPM puisse générer des résultats de contrôle. Pour de plus amples informations, veuillez consulter [Considérations avant l'activation et la configuration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).
Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.
Pour obtenir la liste des contrôles impliquant des ressources globales, voir[Contrôles utilisant des ressources globales](controls-to-disable.md#controls-to-disable-global-resources).
### Politique de configuration recommandée
Lorsque vous créez une politique de configuration pour la *première fois dans la console Security Hub CSPM*, vous avez la possibilité de choisir la politique recommandée par Security Hub CSPM.
La politique recommandée active Security Hub CSPM, la norme AWS Foundational Security Best Practices (FSBP) et tous les contrôles FSBP existants et nouveaux. Les contrôles qui acceptent des paramètres utilisent les valeurs par défaut. La politique recommandée s'applique au root (tous les comptes OUs, qu'ils soient nouveaux ou existants). Après avoir créé la politique recommandée pour votre organisation, vous pouvez la modifier à partir du compte d'administrateur délégué. Par exemple, vous pouvez activer des normes ou des contrôles supplémentaires ou désactiver des contrôles FSBP spécifiques. Pour obtenir des instructions sur la modification d'une politique de configuration, consultez[Mise à jour des politiques de configuration](update-policy.md).
### Politique de configuration personnalisée
Au lieu de la stratégie recommandée, l'administrateur délégué peut créer jusqu'à 20 politiques de configuration personnalisées. Vous pouvez associer une seule politique personnalisée à l'ensemble de votre organisation ou différentes politiques personnalisées à différents comptes et OUs. Pour une politique de configuration personnalisée, vous devez spécifier les paramètres souhaités. Par exemple, vous pouvez créer une politique personnalisée qui active le FSBP, le Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 et tous les contrôles de ces normes, à l'exception des contrôles Amazon Redshift. Le niveau de granularité que vous utilisez dans les politiques de configuration personnalisées dépend de l'étendue de la couverture de sécurité prévue dans l'ensemble de votre organisation.
**Note**
Vous ne pouvez pas associer une politique de configuration qui désactive Security Hub CSPM au compte d'administrateur délégué. Une telle politique peut être associée à d'autres comptes mais ignore l'association avec l'administrateur délégué. Le compte d'administrateur délégué conserve sa configuration actuelle.
Après avoir créé une politique de configuration personnalisée, vous pouvez passer à la stratégie de configuration recommandée en mettant à jour votre stratégie de configuration afin de refléter la configuration recommandée. Cependant, vous ne voyez pas la possibilité de créer la politique de configuration recommandée dans la console Security Hub CSPM après la création de votre première politique.
## Association des politiques par le biais de l'application et de l'héritage
Lorsque vous optez pour la première fois pour la configuration centralisée, votre organisation n'a aucune association et se comporte de la même manière qu'avant l'inscription. L'administrateur délégué peut ensuite établir des associations entre une politique de configuration ou un comportement autogéré et les comptes OUs, ou le root. Les associations peuvent être créées par le biais *d'une demande* ou d'un *héritage*.
À partir du compte d'administrateur délégué, vous pouvez appliquer directement une politique de configuration à un compte, à une unité d'organisation ou à la racine. L'administrateur délégué peut également appliquer directement une désignation autogérée à un compte, à une unité d'organisation ou à la racine.
En l'absence d'application directe, un compte ou une unité d'organisation hérite des paramètres du parent le plus proche doté d'une politique de configuration ou d'un comportement autogéré. Si le parent le plus proche est associé à une politique de configuration, l'enfant hérite de cette politique et n'est configurable que par l'administrateur délégué de la région d'origine. Si le parent le plus proche est autogéré, l'enfant hérite du comportement autogéré et a la possibilité de spécifier ses propres paramètres dans chacun d'eux. Région AWS
L'application a la priorité sur l'héritage. En d'autres termes, l'héritage ne remplace pas une politique de configuration ou une désignation autogérée que l'administrateur délégué a directement appliquée à un compte ou à une unité d'organisation.
Si vous appliquez directement une politique de configuration à un compte autogéré, cette politique remplace la désignation autogérée. Le compte est géré de manière centralisée et adopte les paramètres reflétés dans la politique de configuration.
Nous recommandons d'appliquer directement une politique de configuration à la racine. Si vous appliquez une politique à la racine, les nouveaux comptes qui rejoignent votre organisation hériteront automatiquement de la politique racine, sauf si vous les associez à une autre stratégie ou si vous les désignez comme autogérés.
Une seule politique de configuration peut être associée à un compte ou à une unité d'organisation à la fois, par le biais d'une application ou d'un héritage. Ceci est conçu pour éviter les conflits de paramètres.
Le schéma suivant illustre le fonctionnement de l'application des politiques et de l'héritage dans une configuration centrale.
![\[Appliquer et hériter des politiques de configuration Security Hub CSPM\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)
Dans cet exemple, une politique de configuration est appliquée à un nœud surligné en vert. Aucune politique de configuration n'est appliquée à un nœud surligné en bleu. Un nœud surligné en jaune a été désigné comme étant autogéré. Chaque compte et unité d'organisation utilise la configuration suivante :
+ **OU:root (vert)** — Cette unité d'organisation utilise la politique de configuration qui lui a été appliquée.
+ **OU:Prod (Blue)** — Cette UO hérite de la politique de configuration de OU:Root.
+ **OU:Applications (vert)** — Cette unité d'organisation utilise la politique de configuration qui lui a été appliquée.
+ **Compte 1 (vert)** — Ce compte utilise la politique de configuration qui lui a été appliquée.
+ **Compte 2 (bleu)** — Ce compte hérite de la politique de configuration de OU:Applications.
+ **OU:dev (Yellow)** — Cette UO est autogérée.
+ **Compte 3 (vert)** — Ce compte utilise la politique de configuration qui lui a été appliquée.
+ **Compte 4 (bleu)** — Ce compte hérite du comportement autogéré de OU:dev.
+ **OU:Test (Blue)** — Ce compte hérite de la politique de configuration de OU:Root.
+ **Compte 5 (bleu)** — Ce compte hérite de la politique de configuration de OU:root puisque son parent immédiat, OU:Test, n'est associé à aucune politique de configuration.
## Tester une politique de configuration
Pour vous assurer de bien comprendre le fonctionnement des politiques de configuration, nous vous recommandons d'en créer une et de l'associer à un compte de test ou à une unité d'organisation.
**Pour tester une politique de configuration**
1. Créez une politique de configuration personnalisée et vérifiez que les paramètres spécifiés pour l'activation, les normes et les contrôles de Security Hub CSPM sont corrects. Pour obtenir des instructions, veuillez consulter [Création et association de politiques de configuration](create-associate-policy.md).
1. Appliquez la politique de configuration à un compte de test ou à une unité d'organisation qui ne possède aucun compte enfant ou OUs.
1. Vérifiez que le compte de test ou l'unité d'organisation utilise la politique de configuration de la manière prévue dans votre région d'origine et dans toutes les régions associées. Vous pouvez également vérifier que tous les autres comptes et OUs ceux de votre organisation restent autogérés et peuvent modifier leurs propres paramètres dans chaque région.
Après avoir testé une politique de configuration dans un seul compte ou unité d'organisation, vous pouvez l'associer à d'autres comptes et OUs.
# Création et association de politiques de configuration
Le compte administrateur délégué du AWS Security Hub CSPM peut créer des politiques de configuration qui spécifient la manière dont le Security Hub CSPM, les normes et les contrôles sont configurés dans des comptes et des unités organisationnelles spécifiques (). OUs Une politique de configuration ne prend effet qu'une fois que l'administrateur délégué l'a associée à au moins un compte ou une unité organisationnelle (OUs), ou à la racine. L'administrateur délégué peut également associer une configuration autogérée à des comptes ou à l'utilisateur root. OUs
Si c'est la première fois que vous créez une politique de configuration, nous vous recommandons de la vérifier d'abord[Fonctionnement des politiques de configuration dans Security Hub CSPM](configuration-policies-overview.md).
Choisissez votre méthode d'accès préférée et suivez les étapes pour créer et associer une politique de configuration ou une configuration autogérée. Lorsque vous utilisez la console Security Hub CSPM, vous pouvez associer une configuration à plusieurs comptes ou OUs en même temps. Lorsque vous utilisez l'API Security Hub CSPM ou AWS CLI, vous ne pouvez associer une configuration qu'à un seul compte ou unité d'organisation par demande.
**Note**
Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.
Pour obtenir la liste des contrôles impliquant des ressources globales, voir[Contrôles utilisant des ressources globales](controls-to-disable.md#controls-to-disable-global-resources).
------
#### [ Security Hub CSPM console ]
**Pour créer et associer des politiques de configuration**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Dans le volet de navigation, choisissez **Configuration** et l'onglet **Politiques**. Choisissez ensuite **Create policy**.
1. Sur la page **Configurer l'organisation**, si c'est la première fois que vous créez une politique de configuration, trois options s'affichent sous **Type de configuration**. Si vous avez déjà créé au moins une politique de configuration, seule l'option **Politique personnalisée** s'affiche.
+ Choisissez **Utiliser la configuration CSPM de Security Hub AWS recommandée dans l'ensemble de mon organisation** pour appliquer notre politique recommandée. La politique recommandée active le Security Hub CSPM dans tous les comptes de l'organisation, applique la norme AWS Foundational Security Best Practices (FSBP) et active tous les contrôles FSBP nouveaux et existants. Les commandes utilisent les valeurs de paramètres par défaut.
+ Choisissez **Je ne suis pas encore prêt à configurer** pour créer une politique de configuration ultérieurement.
+ Choisissez **Politique personnalisée** pour créer une politique de configuration personnalisée. Spécifiez s'il faut activer ou désactiver Security Hub CSPM, les normes à activer et les contrôles à activer selon ces normes. Spécifiez éventuellement des [valeurs de paramètres personnalisés](custom-control-parameters.md) pour un ou plusieurs contrôles activés qui prennent en charge les paramètres personnalisés.
1. Dans la section **Comptes**, choisissez les comptes cibles ou la racine auxquels vous souhaitez que votre politique de configuration s'applique. OUs
+ Choisissez **Tous les comptes** si vous souhaitez appliquer la politique de configuration à la racine. Cela inclut tous les comptes et ceux OUs de l'organisation auxquels aucune autre politique n'est appliquée ou dont aucune autre politique n'est héritée.
+ Choisissez **Comptes spécifiques** si vous souhaitez appliquer la politique de configuration à des comptes spécifiques ou OUs. Entrez le compte IDs, ou sélectionnez les comptes et OUs depuis la structure de l'organisation. Vous pouvez appliquer la politique à un maximum de 15 cibles (comptes ou root) lorsque vous la créez. OUs Pour spécifier un nombre plus élevé, modifiez votre politique après sa création et appliquez-la à des cibles supplémentaires.
+ Choisissez **L'administrateur délégué uniquement** pour appliquer la politique de configuration au compte d'administrateur délégué actuel.
1. Choisissez **Suivant**.
1. Sur la page **Vérifier et appliquer**, passez en revue les détails de votre politique de configuration. Choisissez ensuite **Créer une politique et appliquez**. Dans votre région d'origine et dans les régions associées, cette action remplace les paramètres de configuration existants des comptes associés à cette politique de configuration. Les comptes peuvent être associés à la politique de configuration par le biais d'une application ou d'un héritage d'un nœud parent. Les comptes enfants et les cibles appliquées hériteront automatiquement OUs de cette politique de configuration à moins qu'ils ne soient spécifiquement exclus, qu'ils ne soient autogérés ou qu'ils n'utilisent une politique de configuration différente.
------
#### [ Security Hub CSPM API ]
**Pour créer et associer des politiques de configuration**
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API depuis le compte d'administrateur délégué CSPM de Security Hub dans la région d'origine.
1. Pour`Name`, fournissez un nom unique pour la politique de configuration. Facultativement`Description`, pour, fournissez une description de la politique de configuration.
1. Pour le `ServiceEnabled` champ, indiquez si vous souhaitez que Security Hub CSPM soit activé ou désactivé dans cette politique de configuration.
1. Dans le `EnabledStandardIdentifiers` champ, spécifiez les normes CSPM du Security Hub que vous souhaitez activer dans cette politique de configuration.
1. Pour l'`SecurityControlsConfiguration`objet, spécifiez les contrôles que vous souhaitez activer ou désactiver dans cette politique de configuration. Choisir `EnabledSecurityControlIdentifiers` signifie que les commandes spécifiées sont activées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont désactivés. Choisir `DisabledSecurityControlIdentifiers` signifie que les commandes spécifiées sont désactivées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont activés.
1. Spécifiez éventuellement les contrôles activés pour le `SecurityControlCustomParameters` champ dont vous souhaitez personnaliser les paramètres. Indiquez `CUSTOM` le `ValueType` champ et la valeur du paramètre personnalisé pour le `Value` champ. La valeur doit correspondre au type de données correct et se situer dans les plages valides spécifiées par Security Hub CSPM. Seules certaines commandes prennent en charge les valeurs de paramètres personnalisées. Pour de plus amples informations, veuillez consulter [Comprendre les paramètres de contrôle dans Security Hub CSPM](custom-control-parameters.md).
1. Pour appliquer votre politique de configuration aux comptes ou OUs pour appeler l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API depuis le compte d'administrateur délégué Security Hub CSPM de la région d'origine.
1. Pour le `ConfigurationPolicyIdentifier` champ, indiquez le nom de ressource Amazon (ARN) ou l'identifiant unique universel (UUID) de la politique. L'ARN et l'UUID sont renvoyés par l'`CreateConfigurationPolicy`API. Pour une configuration autogérée, le `ConfigurationPolicyIdentifier` champ est égal à`SELF_MANAGED_SECURITY_HUB`.
1. Pour le `Target` champ, indiquez l'unité d'organisation, le compte ou l'ID racine auquel vous souhaitez que cette politique de configuration s'applique. Vous ne pouvez fournir qu'une seule cible par demande d'API. Les comptes enfants et ceux OUs de la cible sélectionnée hériteront automatiquement de cette politique de configuration à moins qu'ils ne soient autogérés ou qu'ils n'utilisent une politique de configuration différente.
**Exemple de demande d'API pour créer une politique de configuration :**
```
{
"Name": "SampleConfigurationPolicy",
"Description": "Configuration policy for production accounts",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
**Exemple de demande d'API pour associer une politique de configuration :**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```
------
#### [ AWS CLI ]
**Pour créer et associer des politiques de configuration**
1. Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.
1. Pour`name`, fournissez un nom unique pour la politique de configuration. Facultativement`description`, pour, fournissez une description de la politique de configuration.
1. Pour le `ServiceEnabled` champ, indiquez si vous souhaitez que Security Hub CSPM soit activé ou désactivé dans cette politique de configuration.
1. Dans le `EnabledStandardIdentifiers` champ, spécifiez les normes CSPM du Security Hub que vous souhaitez activer dans cette politique de configuration.
1. Pour le `SecurityControlsConfiguration` champ, spécifiez les contrôles que vous souhaitez activer ou désactiver dans cette politique de configuration. Choisir `EnabledSecurityControlIdentifiers` signifie que les commandes spécifiées sont activées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont désactivés. Choisir `DisabledSecurityControlIdentifiers` signifie que les commandes spécifiées sont désactivées. Les autres contrôles qui s'appliquent à vos normes activées (y compris les contrôles récemment publiés) sont activés.
1. Spécifiez éventuellement les contrôles activés pour le `SecurityControlCustomParameters` champ dont vous souhaitez personnaliser les paramètres. Indiquez `CUSTOM` le `ValueType` champ et la valeur du paramètre personnalisé pour le `Value` champ. La valeur doit correspondre au type de données correct et se situer dans les plages valides spécifiées par Security Hub CSPM. Seules certaines commandes prennent en charge les valeurs de paramètres personnalisées. Pour de plus amples informations, veuillez consulter [Comprendre les paramètres de contrôle dans Security Hub CSPM](custom-control-parameters.md).
1. Pour appliquer votre politique de configuration aux comptes ou OUs exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.
1. Pour le `configuration-policy-identifier` champ, indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration. Cet ARN et cet ID sont renvoyés par la `create-configuration-policy` commande.
1. Pour le `target` champ, indiquez l'unité d'organisation, le compte ou l'ID racine auquel vous souhaitez que cette politique de configuration s'applique. Vous ne pouvez fournir qu'une seule cible à chaque fois que vous exécutez la commande. Les enfants de la cible sélectionnée hériteront automatiquement de cette politique de configuration à moins qu'ils ne soient autogérés ou qu'ils n'utilisent une stratégie de configuration différente.
**Exemple de commande pour créer une politique de configuration :**
```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
**Exemple de commande pour associer une politique de configuration :**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```
------
L'`StartConfigurationPolicyAssociation`API renvoie un champ appelé`AssociationStatus`. Ce champ indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage du statut à `SUCCESS` ou peut prendre jusqu'à 24 heures`FAILURE`. `PENDING` Pour plus d'informations sur le statut de l'association, consultez[Révision du statut d'association d'une politique de configuration](view-policy.md#configuration-association-status).
# Examen de l'état et des détails des politiques de configuration
L'administrateur délégué du AWS Security Hub CSPM peut consulter les politiques de configuration d'une organisation et leurs détails. Cela inclut les comptes et les unités organisationnelles (OUs) auxquels une politique est associée.
Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
Choisissez votre méthode préférée et suivez les étapes pour consulter vos politiques de configuration.
------
#### [ Security Hub CSPM console ]
**Pour consulter les politiques de configuration (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.
1. Choisissez l'onglet **Politiques** pour obtenir un aperçu de vos politiques de configuration.
1. Sélectionnez une politique de configuration, puis choisissez **Afficher les détails** pour obtenir des informations supplémentaires à son sujet, notamment les comptes auxquels OUs elle est associée.
------
#### [ Security Hub CSPM API ]
Pour afficher une liste récapitulative de toutes vos politiques de configuration, utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)commande. Le compte administrateur délégué du Security Hub CSPM doit appeler l'opération dans la région d'origine.
```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```
Pour afficher les détails d'une politique de configuration spécifique, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)opération. Si vous utilisez le AWS CLI, lancez le [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration dont vous souhaitez consulter les détails.
```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
Pour afficher une liste récapitulative de toutes vos politiques de configuration et de leurs associations de comptes, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)opération use the. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)commande. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Vous pouvez éventuellement fournir des paramètres de pagination ou filtrer les résultats en fonction d'un ID de politique, d'un type d'association ou d'un statut d'association spécifique.
```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```
Pour afficher les associations associées à un compte spécifique, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)opération. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)commande. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Pour`target`, indiquez le numéro de compte, l'ID de l'UO ou l'ID root.
```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```
------
## Révision du statut d'association d'une politique de configuration
Les opérations d'API de configuration centrale suivantes renvoient un champ appelé `AssociationStatus` :
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`
Ce champ est renvoyé à la fois lorsque la configuration sous-jacente est une politique de configuration et lorsqu'il s'agit d'un comportement autogéré.
La valeur de `AssociationStatus` indique si une association de politiques est en attente ou en cours de réussite ou d'échec pour un compte spécifique. Le passage du statut à `SUCCESS` ou peut prendre jusqu'à 24 heures`FAILED`. `PENDING` Un statut de `SUCCESS` signifie que tous les paramètres spécifiés dans la politique de configuration sont associés au compte. Un statut de `FAILED` signifie qu'un ou plusieurs paramètres spécifiés dans la politique de configuration n'ont pas pu être associés au compte. Malgré un `FAILED` statut, le compte peut être partiellement configuré conformément à la politique. Par exemple, vous pouvez essayer d'associer un compte à une politique de configuration qui active Security Hub CSPM, active les meilleures pratiques de sécurité AWS fondamentales et désactive la version .1. CloudTrail Les deux premiers paramètres peuvent réussir, mais le paramètre CloudTrail .1 peut échouer. Dans cet exemple, le statut de l'association est `FAILED` même si certains paramètres ont été correctement configurés.
Le statut d'association d'une unité d'organisation parent ou de la racine dépend du statut de ses enfants. Si le statut d'association de tous les enfants est le `SUCCESS` même, le statut d'association du parent l'est`SUCCESS`. Si le statut d'association d'un ou de plusieurs enfants est le même`FAILED`, le statut d'association du parent l'est`FAILED`.
La valeur de `AssociationStatus` dépend du statut associatif de la politique dans toutes les régions concernées. Si l'association réussit dans la région d'origine et dans toutes les régions associées, la valeur de `AssociationStatus` est`SUCCESS`. Si l'association échoue dans une ou plusieurs de ces régions, la valeur de `AssociationStatus` est`FAILED`.
Le comportement suivant a également un impact sur la valeur de `AssociationStatus` :
+ Si la cible est une unité d'organisation parent ou la racine, elle possède un statut `AssociationStatus` de `SUCCESS` ou `FAILED` uniquement lorsque tous les enfants ont le `FAILED` statut `SUCCESS` ou. Si le statut d'association d'un compte enfant ou d'une unité d'organisation change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) après avoir associé le parent pour la première fois à une configuration, la modification ne met pas à jour le statut d'association du parent, sauf si vous appelez à nouveau l'`StartConfigurationPolicyAssociation`API.
+ Si la cible est un compte, elle possède un `AssociationStatus` compte `SUCCESS` ou `FAILED` uniquement si l'association a un résultat `FAILED` dans `SUCCESS` ou dans la région d'origine et toutes les régions associées. Si le statut d'association d'un compte cible change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) une fois que vous l'avez associée pour la première fois à une configuration, son statut d'association est mis à jour. Toutefois, la modification ne met pas à jour le statut d'association du parent, sauf si vous invoquez à nouveau l'`StartConfigurationPolicyAssociation`API.
Si vous ajoutez une nouvelle région liée, Security Hub CSPM réplique vos associations existantes qui se trouvent dans une `PENDING``SUCCESS`, ou un `FAILED` état de la nouvelle région.
Même lorsque le statut de l'association est défini`SUCCESS`, le statut d'activation d'une norme faisant partie de la politique peut passer à un état incomplet. Dans ce cas, Security Hub CSPM ne peut pas générer de résultats pour les contrôles de la norme. Pour de plus amples informations, veuillez consulter [Vérifier le statut d'une norme](enable-standards.md#standard-subscription-status).
## Résolution des problèmes d'association
Dans AWS Security Hub CSPM, une association de politiques de configuration peut échouer pour les raisons courantes suivantes.
+ **Le compte de gestion des Organizations n'est pas membre** : si vous souhaitez associer une politique de configuration au compte de gestion Organizations, AWS Security Hub CSPM doit déjà être activé sur ce compte. Le compte de gestion devient ainsi un compte membre de l'organisation.
+ **AWS Config n'est pas activé ou correctement configuré** : pour activer les normes dans une politique de configuration, AWS Config il doit être activé et configuré pour enregistrer les ressources pertinentes.
+ L'**association doit être effectuée à partir d'un compte d'administrateur délégué** : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté au compte administrateur délégué du Security Hub CSPM.
+ Vous **devez vous associer depuis votre région d'origine** : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté à votre région d'origine.
+ **Région optionnelle non activée** : l'association de politiques échoue pour un compte membre ou une unité d'organisation dans une région associée s'il s'agit d'une région optionnelle que l'administrateur délégué n'a pas activée. Vous pouvez réessayer après avoir activé la région à partir du compte d'administrateur délégué.
+ **Compte de membre suspendu** : l'association de règles échoue si vous essayez d'associer une politique à un compte de membre suspendu.
# Mise à jour des politiques de configuration
Après avoir créé une politique de configuration, le compte administrateur délégué du AWS Security Hub CSPM peut mettre à jour les détails de la politique et les associations de politiques. Lorsque les détails de la politique sont mis à jour, les comptes associés à la stratégie de configuration commencent automatiquement à utiliser la politique mise à jour.
Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
L'administrateur délégué peut mettre à jour les paramètres de stratégie suivants :
+ Activez ou désactivez Security Hub CSPM.
+ Activez une ou plusieurs [normes de sécurité](standards-reference.md).
+ Indiquez quels [contrôles de sécurité](securityhub-controls-reference.md) sont activés dans le cadre des normes activées. Vous pouvez le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub CSPM désactive tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés. Vous pouvez également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub CSPM active tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés.
+ Vous pouvez éventuellement [personnaliser les paramètres](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) pour sélectionner les contrôles activés selon les normes activées.
Choisissez votre méthode préférée et suivez les étapes pour mettre à jour une politique de configuration.
**Note**
Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.
Pour obtenir la liste des contrôles impliquant des ressources globales, voir[Contrôles utilisant des ressources globales](controls-to-disable.md#controls-to-disable-global-resources).
------
#### [ Console ]
**Pour mettre à jour les politiques de configuration**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.
1. Choisissez l’onglet **Politiques**.
1. Sélectionnez la politique de configuration que vous souhaitez modifier, puis choisissez **Modifier**. Si vous le souhaitez, modifiez les paramètres de politique. Laissez cette section telle quelle si vous souhaitez conserver les paramètres de stratégie inchangés.
1. Choisissez **Next**. Si vous le souhaitez, modifiez les associations de politiques. Laissez cette section telle quelle si vous souhaitez conserver les associations de politiques inchangées. Vous pouvez associer ou dissocier la politique à un maximum de 15 cibles (comptes ou root) lorsque vous la mettez à jour. OUs
1. Choisissez **Suivant**.
1. Passez en revue vos modifications, puis choisissez **Enregistrer et appliquer**. Dans votre région d'origine et dans les régions associées, cette action remplace les paramètres de configuration existants des comptes associés à cette politique de configuration. Les comptes peuvent être associés à une politique de configuration par le biais d'une application ou d'un héritage provenant d'un nœud parent.
------
#### [ API ]
**Pour mettre à jour les politiques de configuration**
1. Pour mettre à jour les paramètres d'une politique de configuration, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API depuis le compte d'administrateur délégué Security Hub CSPM de la région d'origine.
1. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.
1. Fournissez des valeurs mises à jour pour les champs ci-dessous`ConfigurationPolicy`. Vous pouvez également indiquer le motif de la mise à jour, si vous le souhaitez.
1. Pour ajouter de nouvelles associations pour cette politique de configuration, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API depuis le compte d'administrateur délégué Security Hub CSPM de la région d'origine. Pour supprimer une ou plusieurs associations actuelles, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API depuis le compte d'administrateur délégué Security Hub CSPM de la région d'origine.
1. Pour le `ConfigurationPolicyIdentifier` champ, indiquez l'ARN ou l'ID de la politique de configuration dont vous souhaitez mettre à jour les associations.
1. Pour le `Target` champ, indiquez les comptes ou l'ID racine que vous souhaitez associer ou dissocier. OUs Cette action remplace les associations de politiques précédentes pour les comptes OUs ou les comptes spécifiés.
**Note**
Lorsque vous appelez l'`UpdateConfigurationPolicy`API, Security Hub CSPM remplace la liste complète des champs`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, et`SecurityControlCustomParameters`. Chaque fois que vous invoquez cette API, fournissez la liste complète des normes que vous souhaitez activer, ainsi que la liste complète des contrôles que vous souhaitez activer ou désactiver et pour lesquels vous souhaitez personnaliser les paramètres.
**Exemple de demande d'API pour mettre à jour une politique de configuration :**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Description": "Updated configuration policy",
"UpdatedReason": "Disabling CloudWatch.1",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2",
"CloudWatch.1"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
------
#### [ AWS CLI ]
**Pour mettre à jour les politiques de configuration**
1. Pour mettre à jour les paramètres d'une politique de configuration, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.
1. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.
1. Fournissez des valeurs mises à jour pour les champs ci-dessous`configuration-policy`. Vous pouvez également indiquer le motif de la mise à jour, si vous le souhaitez.
1. Pour ajouter de nouvelles associations pour cette politique de configuration, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine. Pour supprimer une ou plusieurs associations actuelles, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.
1. Pour le `configuration-policy-identifier` champ, indiquez l'ARN ou l'ID de la politique de configuration dont vous souhaitez mettre à jour les associations.
1. Pour le `target` champ, indiquez les comptes ou l'ID racine que vous souhaitez associer ou dissocier. OUs Cette action remplace les associations de politiques précédentes pour les comptes OUs ou les comptes spécifiés.
**Note**
Lorsque vous exécutez la `update-configuration-policy` commande, Security Hub CSPM remplace la liste complète des champs`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, et`SecurityControlCustomParameters`. Chaque fois que vous exécutez cette commande, fournissez la liste complète des normes que vous souhaitez activer et la liste complète des contrôles que vous souhaitez activer ou désactiver et pour lesquels vous souhaitez personnaliser les paramètres.
**Exemple de commande pour mettre à jour une politique de configuration :**
```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
------
L'`StartConfigurationPolicyAssociation`API renvoie un champ appelé`AssociationStatus`. Ce champ indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage de l'état à `SUCCESS` ou peut prendre jusqu'`PENDING`à 24 heures`FAILURE`. Pour plus d'informations sur le statut de l'association, consultez[Révision du statut d'association d'une politique de configuration](view-policy.md#configuration-association-status).
# Suppression des politiques de configuration
Après avoir créé une politique de configuration, l'administrateur délégué du AWS Security Hub CSPM peut la supprimer. L'administrateur délégué peut également conserver la politique, mais la dissocier de comptes ou d'unités organisationnelles spécifiques (OUs), ou de la racine. Pour obtenir des instructions sur la dissociation d'une politique, consultez[Dissociation d'une configuration de ses cibles](disassociate-policy.md).
Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
Cette section explique comment supprimer les politiques de configuration.
Lorsque vous supprimez une politique de configuration, elle n'existe plus pour votre organisation. Les comptes cibles et la racine de l'organisation ne peuvent plus utiliser la politique de configuration. OUs Les cibles associées à une politique de configuration supprimée héritent de la politique de configuration du parent le plus proche ou deviennent autogérées si le parent le plus proche est autogéré. Si vous souhaitez qu'une cible utilise une configuration différente, vous pouvez l'associer à une nouvelle politique de configuration. Pour de plus amples informations, veuillez consulter [Création et association de politiques de configuration](create-associate-policy.md).
Nous vous recommandons de créer et d'associer au moins une politique de configuration à votre organisation afin de fournir une couverture de sécurité adéquate.
Avant de pouvoir supprimer une politique de configuration, vous devez dissocier la politique de tous les comptes ou de la racine auxquels elle s'applique actuellement. OUs
Choisissez votre méthode préférée et suivez les étapes pour supprimer une politique de configuration.
------
#### [ Console ]
**Pour supprimer une politique de configuration**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.
1. Choisissez l’onglet **Politiques**. Sélectionnez la politique de configuration que vous souhaitez supprimer, puis choisissez **Supprimer**. Si la politique de configuration est toujours associée à des comptes ou OUs si vous êtes invité à dissocier d'abord la politique de ces cibles avant de pouvoir la supprimer.
1. Passez en revue le message de confirmation. Entrez**confirm**, puis choisissez **Supprimer**.
------
#### [ API ]
**Pour supprimer une politique de configuration**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html)API depuis le compte d'administrateur délégué CSPM de Security Hub dans la région d'origine.
Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez supprimer. Si vous recevez un `ConflictException` message d'erreur, la politique de configuration s'applique toujours aux comptes ou OUs au sein de votre organisation. Pour résoudre l'erreur, dissociez la politique de configuration de ces comptes ou OUs avant d'essayer de la supprimer.
**Exemple de demande d'API pour supprimer une politique de configuration :**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```
------
#### [ AWS CLI ]
**Pour supprimer une politique de configuration**
Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.
Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez supprimer. Si vous recevez un `ConflictException` message d'erreur, la politique de configuration s'applique toujours aux comptes ou OUs au sein de votre organisation. Pour résoudre l'erreur, dissociez la politique de configuration de ces comptes ou OUs avant d'essayer de la supprimer.
```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
# Dissociation d'une configuration de ses cibles
À partir du compte administrateur délégué du AWS Security Hub CSPM, vous pouvez dissocier une politique de configuration ou une configuration autogérée d'un compte, d'une unité d'organisation ou d'un root. La dissociation conserve la politique pour une utilisation future, mais supprime les associations existantes de comptes spécifiques OUs, ou de la racine. Vous ne pouvez dissocier qu'une configuration directement appliquée, pas une configuration héritée. Pour modifier une configuration héritée, vous pouvez appliquer une politique de configuration ou un comportement autogéré au compte ou à l'unité d'organisation concerné. Vous pouvez également appliquer une nouvelle politique de configuration, qui inclut les modifications souhaitées, au parent le plus proche.
La dissociation *ne supprime pas* une politique de configuration. La politique est conservée dans votre compte, de sorte que vous pouvez l'associer à d'autres cibles de votre organisation. Pour obtenir des instructions sur la suppression d'une politique de configuration, consultez[Suppression des politiques de configuration](delete-policy.md). Lorsque la dissociation est terminée, la cible affectée hérite de la politique de configuration ou du comportement autogéré du parent le plus proche. S'il n'existe aucune configuration héritable, une cible conserve les paramètres qu'elle avait avant la dissociation mais devient autogérée.
Choisissez votre méthode préférée et suivez les étapes pour dissocier un compte, une unité d'organisation ou un root de sa configuration actuelle.
------
#### [ Console ]
**Pour dissocier un compte ou une unité d'organisation de sa configuration actuelle**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.
1. Dans l'onglet **Organizations**, sélectionnez le compte, l'unité d'organisation ou la racine que vous souhaitez dissocier de sa configuration actuelle. Choisissez **Modifier**.
1. Sur la page **Définir la configuration**, pour **Gestion**, choisissez **Politique appliquée** si vous souhaitez que l'administrateur délégué puisse appliquer des politiques directement à la cible. Choisissez **Hierited** si vous souhaitez que la cible hérite de la configuration de son parent le plus proche. Dans les deux cas, l'administrateur délégué contrôle les paramètres de la cible. Choisissez **Autogéré** si vous souhaitez que le compte ou l'unité d'organisation contrôle ses propres paramètres.
1. Après avoir examiné vos modifications, choisissez **Suivant** et **Appliquer**. Cette action remplace les configurations existantes de tous les comptes ou de tous OUs les comptes concernés, si ces configurations entrent en conflit avec vos sélections actuelles.
------
#### [ API ]
**Pour dissocier un compte ou une unité d'organisation de sa configuration actuelle**
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API depuis le compte d'administrateur délégué CSPM de Security Hub dans la région d'origine.
1. Pour`ConfigurationPolicyIdentifier`, fournissez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez dissocier. Indiquez ce champ `SELF_MANAGED_SECURITY_HUB` pour dissocier les comportements autogérés.
1. Pour`Target`, indiquez les comptes ou la racine que vous souhaitez dissocier de cette politique de configuration. OUs
**Exemple de demande d'API pour dissocier une politique de configuration :**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"RootId": "r-f6g7h8i9j0example"}
}
```
------
#### [ AWS CLI ]
**Pour dissocier un compte ou une unité d'organisation de sa configuration actuelle**
1. Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.
1. Pour`configuration-policy-identifier`, fournissez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez dissocier. Indiquez ce champ `SELF_MANAGED_SECURITY_HUB` pour dissocier les comportements autogérés.
1. Pour`target`, indiquez les comptes ou la racine que vous souhaitez dissocier de cette politique de configuration. OUs
**Exemple de commande pour dissocier une politique de configuration :**
```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```
------
# Configuration d'une norme ou d'un contrôle en contexte
Lorsque vous utilisez la [configuration centralisée](central-configuration-intro.md) dans AWS Security Hub CSPM, l'administrateur délégué de Security Hub CSPM peut créer des politiques de configuration qui spécifient la manière dont le Security Hub CSPM, les normes de sécurité et les contrôles de sécurité sont configurés pour une organisation. L'administrateur délégué peut associer des politiques à des comptes et à des unités d'organisation (UO) spécifiques. Les politiques entrent en vigueur dans votre région d'origine et dans toutes les régions associées. L'administrateur délégué peut mettre à jour les politiques de configuration si nécessaire.
Sur la console Security Hub CSPM, l'administrateur délégué peut mettre à jour les politiques de configuration de deux manières : depuis la page **Configuration** ou dans le contexte des flux de travail existants. Ce dernier point peut être utile car, lorsque vous consultez les résultats de sécurité, vous pouvez découvrir les normes et les contrôles les plus pertinents pour votre environnement et les configurer en même temps.
La configuration contextuelle n'est disponible que sur la console Security Hub CSPM. Par programmation, l'administrateur délégué doit invoquer le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)fonctionnement de l'API Security Hub CSPM pour modifier la façon dont des normes ou des contrôles spécifiques sont configurés dans l'organisation.
Suivez ces étapes pour configurer une norme ou un contrôle Security Hub CSPM en contexte.
**Pour configurer une norme ou un contrôle en contexte (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Dans le volet de navigation, choisissez l'une des options suivantes :
+ Pour configurer une norme, sélectionnez **Normes de sécurité**, puis choisissez une norme spécifique.
+ Pour configurer un contrôle, choisissez **Controls**, puis choisissez un contrôle spécifique.
1. La console répertorie vos politiques de configuration Security Hub CSPM existantes et le statut de la norme ou du contrôle sélectionné dans chacune d'elles. Choisissez les options pour activer ou désactiver la norme ou le contrôle dans chaque politique de configuration existante. Pour les contrôles, vous pouvez également choisir de personnaliser les [paramètres de contrôle](custom-control-parameters.md). Vous ne pouvez pas créer de nouvelle politique lors de la configuration contextuelle. Pour créer une nouvelle politique, vous devez accéder à la page **Configuration**, choisir l'onglet **Stratégies**, puis choisir **Créer une politique**.
1. Après avoir apporté vos modifications, choisissez **Next**.
1. Passez en revue vos modifications, puis choisissez **Appliquer**. Les mises à jour concernent tous OUs les comptes associés à une politique de configuration modifiée. Les mises à jour prennent également effet dans la région d'origine et dans toutes les régions associées.
# Désactivation de la configuration centrale dans Security Hub CSPM
Lorsque vous désactivez la configuration centralisée dans AWS Security Hub CSPM, l'administrateur délégué ne peut plus configurer Security Hub CSPM, les normes de sécurité et les contrôles de sécurité sur plusieurs Comptes AWS unités organisationnelles () OUs et. Régions AWS Vous devez plutôt configurer la plupart des paramètres séparément pour chaque compte dans chaque région.
**Important**
Avant de désactiver la configuration centralisée, vous devez d'abord [dissocier vos comptes et les dissocier OUs](disassociate-policy.md) de leur configuration actuelle, qu'il s'agisse d'une politique de configuration ou d'un comportement autogéré.
Avant de désactiver la configuration centralisée, vous devez également [supprimer les politiques de configuration existantes](delete-policy.md).
Lorsque vous désactivez la configuration centrale, les modifications suivantes se produisent :
+ L'administrateur délégué ne peut plus créer de politiques de configuration pour l'organisation.
+ Les comptes auxquels une politique de configuration a été appliquée ou héritée conservent leurs paramètres actuels, mais deviennent autogérés.
+ Votre organisation passe à la *configuration locale*. Dans le cadre de la configuration locale, la majorité des paramètres Security Hub CSPM doivent être configurés séparément dans chaque compte d'organisation et dans chaque région. L'administrateur délégué peut choisir d'activer automatiquement le Security Hub CSPM, les [normes de sécurité par défaut](securityhub-auto-enabled-standards.md) et tous les contrôles inclus dans les normes par défaut dans les nouveaux comptes d'organisation. Les normes par défaut sont AWS Foundational Security Best Practices (FSBP) et Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Ces paramètres ne prennent effet que dans la région actuelle et n'ont d'incidence que sur les nouveaux comptes de l'organisation. L'administrateur délégué ne peut pas modifier les normes par défaut. La configuration locale ne prend pas en charge l'utilisation de politiques de configuration ou de configuration au niveau de l'unité d'organisation.
L'identité du compte d'administrateur délégué reste la même lorsque vous arrêtez d'utiliser la configuration centrale. Votre région d'origine et les régions associées restent également les mêmes (votre région d'origine est désormais appelée région d'agrégation et peut être utilisée pour rechercher une agrégation).
Choisissez votre méthode préférée et suivez les étapes pour arrêter d'utiliser la configuration centrale et passer à la configuration locale.
------
#### [ Security Hub CSPM console ]
**Pour désactiver la configuration centrale (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.
1. Dans la section **Vue d'ensemble**, choisissez **Modifier**.
1. Dans la zone **Modifier la configuration de l'organisation**, choisissez **Configuration locale**. Si ce n'est pas déjà fait, vous êtes invité à dissocier et à supprimer vos politiques de configuration actuelles avant de pouvoir arrêter la configuration centralisée. Les comptes ou OUs ceux qui sont désignés comme autogérés doivent être dissociés de leur configuration autogérée. Vous pouvez le faire dans la console en [modifiant le type de gestion](central-configuration-management-type.md#choose-management-type) de chaque compte ou unité d'organisation autogéré en mode **géré de manière centralisée** et en **héritant de mon organisation**.
1. Vous pouvez éventuellement sélectionner les paramètres de configuration par défaut locaux pour les nouveaux comptes d'organisation.
1. Choisissez **Confirmer**.
------
#### [ Security Hub CSPM API ]
**Pour désactiver la configuration centrale (API)**
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API.
1. Définissez le `ConfigurationType` champ de l'`OrganizationConfiguration`objet sur`LOCAL`. L'API renvoie une erreur si vous avez des politiques de configuration ou des associations de politiques existantes. Pour dissocier une politique de configuration, appelez l'`StartConfigurationPolicyDisassociation`API. Pour supprimer une politique de configuration, appelez l'`DeleteConfigurationPolicy`API.
1. Si vous souhaitez activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation, définissez le `AutoEnable` champ sur. `true` Par défaut, la valeur de ce champ est`false`, et Security Hub CSPM n'est pas automatiquement activé dans les nouveaux comptes d'organisation. Si vous souhaitez activer automatiquement les normes de sécurité par défaut dans les nouveaux comptes d'organisation, définissez le `AutoEnableStandards` champ sur`DEFAULT`. Il s'agit de la valeur par défaut. Si vous ne souhaitez pas activer automatiquement les normes de sécurité par défaut dans les nouveaux comptes d'organisation, définissez le `AutoEnableStandards` champ sur`NONE`.
**Exemple de demande d'API :**
```
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
```
------
#### [ AWS CLI ]
**Pour désactiver la configuration centrale (AWS CLI)**
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).
1. Définissez le `ConfigurationType` champ de l'`organization-configuration`objet sur`LOCAL`. La commande renvoie une erreur si vous avez des politiques de configuration ou des associations de politiques existantes. Pour dissocier une politique de configuration, exécutez la `start-configuration-policy-disassociation` commande. Pour supprimer une politique de configuration, exécutez la `delete-configuration-policy` commande.
1. Si vous souhaitez activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation, incluez le `auto-enable` paramètre. Par défaut, la valeur de ce paramètre est`no-auto-enable`, et Security Hub CSPM n'est pas automatiquement activé dans les nouveaux comptes d'organisation. Si vous souhaitez activer automatiquement les normes de sécurité par défaut dans les nouveaux comptes d'organisation, définissez le `auto-enable-standards` champ sur`DEFAULT`. Il s'agit de la valeur par défaut. Si vous ne souhaitez pas activer automatiquement les normes de sécurité par défaut dans les nouveaux comptes d'organisation, définissez le `auto-enable-standards` champ sur`NONE`.
```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```
------
# Gestion des comptes d'administrateur et de membre dans Security Hub CSPM
Si votre AWS environnement comporte plusieurs comptes, vous pouvez traiter les comptes qui utilisent AWS Security Hub CSPM comme des comptes membres et les associer à un seul compte administrateur. L'administrateur peut surveiller votre niveau de sécurité global et effectuer les [actions autorisées sur les](securityhub-accounts-allowed-actions.md) comptes des membres. L'administrateur peut également effectuer diverses tâches de gestion et d'administration des comptes à grande échelle, telles que le suivi des coûts d'utilisation estimés et l'évaluation des quotas de compte.
Vous pouvez associer des comptes membres à un administrateur de deux manières : en intégrant Security Hub CSPM à Security Hub CSPM AWS Organizations ou en envoyant et en acceptant manuellement des invitations d'adhésion dans Security Hub CSPM.
## Gérer des comptes avec AWS Organizations
AWS Organizations est un service de gestion de comptes global qui permet AWS aux administrateurs de consolider et de gérer plusieurs comptes Comptes AWS. Il fournit des fonctionnalités de gestion des comptes et de facturation consolidée conçues pour répondre aux besoins budgétaires, de sécurité et de conformité. Il est proposé sans frais supplémentaires et s'intègre à plusieurs applications Services AWS, notamment AWS Security Hub CSPM, Amazon Macie et Amazon. GuardDuty Pour plus d’informations, consultez le [Guide de l’utilisateur *AWS Organizations *](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Lorsque vous intégrez Security Hub CSPM et AWS Organizations, le compte de gestion Organizations désigne un administrateur délégué du Security Hub CSPM. Security Hub CSPM est automatiquement activé dans le compte d'administrateur délégué Région AWS dans lequel il a été désigné.
[Après avoir désigné un administrateur délégué, nous vous recommandons de gérer les comptes dans Security Hub CSPM avec une configuration centralisée.](central-configuration-intro.md) C'est le moyen le plus efficace de personnaliser Security Hub CSPM et de garantir une couverture de sécurité adéquate pour votre organisation.
La configuration centralisée permet à l'administrateur délégué de personnaliser Security Hub CSPM sur plusieurs comptes et régions d'entreprise plutôt que de le configurer. Region-by-Region Vous pouvez créer une politique de configuration pour l'ensemble de votre organisation ou créer différentes politiques de configuration pour différents comptes et OUs. Les politiques précisent si Security Hub CSPM est activé ou désactivé dans les comptes associés et quelles normes et contrôles de sécurité sont activés.
L'administrateur délégué peut désigner des comptes comme étant gérés de manière centralisée ou autogérés. Les comptes gérés de manière centralisée sont configurables uniquement par l'administrateur délégué. Les comptes autogérés peuvent définir leurs propres paramètres.
Si vous n'optez pas pour la configuration centralisée, l'administrateur délégué dispose d'une capacité plus limitée pour configurer le Security Hub CSPM, appelée configuration *locale*. Dans le cadre de la configuration locale, l'administrateur délégué peut automatiquement activer le Security Hub CSPM et les [normes de sécurité par défaut dans les](securityhub-auto-enabled-standards.md) nouveaux comptes d'organisation de la région actuelle. Toutefois, les comptes existants n'utilisent pas ces paramètres, de sorte qu'une modification de la configuration peut se produire une fois qu'un compte a rejoint l'organisation.
Outre ces nouveaux paramètres de compte, la configuration locale est spécifique au compte et à la région. Chaque compte d'organisation doit configurer le service, les normes et les contrôles Security Hub CSPM séparément dans chaque région. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.
## Gestion manuelle des comptes sur invitation
Vous devez gérer manuellement les comptes des membres sur invitation dans Security Hub CSPM si vous avez un compte autonome ou si vous ne l'intégrez pas à Organizations. Un compte autonome ne peut pas s'intégrer à Organizations. Il est donc nécessaire de le gérer manuellement. Nous vous recommandons d'intégrer AWS Organizations et d'utiliser la configuration centralisée si vous ajoutez des comptes supplémentaires à l'avenir.
Lorsque vous utilisez la gestion manuelle des comptes, vous désignez un compte comme administrateur du Security Hub CSPM. Le compte administrateur peut consulter les données des comptes des membres et prendre certaines mesures en fonction des résultats des comptes des membres. L'administrateur du Security Hub CSPM invite d'autres comptes à devenir membres, et la relation administrateur-membre est établie lorsqu'un compte membre potentiel accepte l'invitation.
La gestion manuelle des comptes ne prend pas en charge l'utilisation de politiques de configuration. Sans politiques de configuration, l'administrateur ne peut pas personnaliser Security Hub CSPM de manière centralisée en configurant des paramètres variables pour différents comptes. Au lieu de cela, chaque compte d'organisation doit activer et configurer Security Hub CSPM séparément dans chaque région. Il peut donc être plus difficile et fastidieux de garantir une couverture de sécurité adéquate pour tous les comptes et régions dans lesquels vous utilisez Security Hub CSPM. Cela peut également entraîner une dérive de la configuration, car les comptes membres peuvent définir leurs propres paramètres sans intervention de l'administrateur.
Pour gérer les comptes sur invitation, consultez[Gestion des comptes sur invitation dans Security Hub CSPM](account-management-manual.md).
# Recommandations pour la gestion de plusieurs comptes dans Security Hub CSPM
La section suivante résume certaines restrictions et recommandations à prendre en compte lors de la gestion des comptes de membres dans AWS Security Hub CSPM.
## Nombre maximal de comptes membres
Si vous utilisez l'intégration avec AWS Organizations, Security Hub CSPM prend en charge jusqu'à 10 000 comptes membres par compte d'administrateur délégué dans chacun d'eux. Région AWS Si vous activez et gérez Security Hub CSPM manuellement, Security Hub CSPM prend en charge jusqu'à 1 000 invitations de compte de membre par compte administrateur dans chaque région.
## Création de relations administrateur-membre
**Note**
Si vous utilisez l'intégration CSPM de Security Hub et que vous n'avez invité aucun compte membre manuellement, cette section ne s'applique pas à vous. AWS Organizations
Un compte ne peut pas être à la fois un compte administrateur et un compte membre.
Un compte membre ne peut être associé qu'à un seul compte administrateur. Si un compte d'organisation est activé par le compte administrateur du Security Hub CSPM, le compte ne peut pas accepter d'invitation provenant d'un autre compte. Si un compte a déjà accepté une invitation, le compte ne peut pas être activé par le compte administrateur Security Hub CSPM de l'organisation. Il ne peut pas non plus recevoir d'invitations provenant d'autres comptes.
Pour le processus d'invitation manuel, l'acceptation d'une invitation d'adhésion est facultative.
### Adhésion via AWS Organizations
Si vous intégrez Security Hub CSPM à Security Hub AWS Organizations, le compte de gestion Organizations peut désigner un compte d'administrateur délégué (DA) pour Security Hub CSPM. Le compte de gestion de l'organisation ne peut pas être défini en tant que DA dans Organizations. Bien que cela soit autorisé dans Security Hub CSPM, nous recommandons que le compte de gestion des Organizations *ne soit pas* le DA.
Nous vous recommandons de choisir le même compte DA dans toutes les régions. Si vous utilisez la [configuration centralisée](central-configuration-intro.md), Security Hub CSPM définit le même compte DA dans toutes les régions dans lesquelles vous configurez Security Hub CSPM pour votre organisation.
Nous vous recommandons également de choisir le même compte DA pour tous les services AWS de sécurité et de conformité afin de vous aider à gérer les problèmes liés à la sécurité de manière centralisée.
### Adhésion sur invitation
Pour les comptes membres créés sur invitation, l'association administrateur-compte membre est créée uniquement dans la région d'où l'invitation est envoyée. Le compte administrateur doit activer le Security Hub CSPM dans chaque région dans laquelle vous souhaitez l'utiliser. Le compte administrateur invite ensuite chaque compte à devenir un compte membre dans cette région.
**Note**
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres.
## Coordination des comptes d'administrateur entre les services
Security Hub CSPM regroupe les résultats de différents AWS services, tels qu'Amazon, Amazon GuardDuty Inspector et Amazon Macie. Security Hub CSPM permet également aux utilisateurs de passer d'une GuardDuty découverte à une enquête dans Amazon Detective.
Toutefois, les relations administrateur-membre que vous configurez dans ces autres services ne s'appliquent pas automatiquement à Security Hub CSPM. Security Hub CSPM vous recommande d'utiliser le même compte que le compte administrateur pour tous ces services. Ce compte administrateur doit être un compte responsable des outils de sécurité. Le même compte doit également être le compte agrégateur pour AWS Config.
Par exemple, un utilisateur du compte GuardDuty administrateur A peut consulter les résultats relatifs aux comptes de GuardDuty membres B et C sur la GuardDuty console. Si le compte A active alors Security Hub CSPM, les utilisateurs du compte A ne voient *pas* automatiquement les GuardDuty résultats des comptes B et C dans Security Hub CSPM. Une relation administrateur-membre du Security Hub CSPM est également requise pour ces comptes.
Pour ce faire, définissez le compte A comme compte administrateur du Security Hub CSPM et activez les comptes B et C pour qu'ils deviennent des comptes membres du Security Hub CSPM.
# Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations
Vous pouvez intégrer AWS Security Hub CSPM à Security Hub CSPM AWS Organizations, puis le gérer pour les comptes de votre organisation.
Pour intégrer Security Hub CSPM à AWS Organizations, vous devez créer une organisation dans. AWS Organizations Le compte de gestion des Organizations désigne un compte en tant qu'administrateur délégué du Security Hub CSPM pour l'organisation. L'administrateur délégué peut ensuite activer le Security Hub CSPM pour les autres comptes de l'organisation, ajouter ces comptes en tant que comptes membres du Security Hub CSPM et effectuer les actions autorisées sur les comptes des membres. L'administrateur délégué du Security Hub CSPM peut activer et gérer le Security Hub CSPM pour un maximum de 10 000 comptes membres.
L'étendue des capacités de configuration de l'administrateur délégué dépend de l'utilisation ou non de [la configuration centralisée](central-configuration-intro.md). Lorsque la configuration centralisée est activée, vous n'avez pas besoin de configurer Security Hub CSPM séparément dans chaque compte membre et. Région AWS L'administrateur délégué peut appliquer les paramètres CSPM spécifiques du Security Hub à des comptes membres et à des unités organisationnelles (OUs) spécifiques dans toutes les régions.
Le compte administrateur délégué Security Hub CSPM peut effectuer les actions suivantes sur les comptes des membres :
+ Si vous utilisez la configuration centralisée, configurez le Security Hub CSPM de manière centralisée pour les comptes membres et OUs en créant des politiques de configuration du Security Hub CSPM. Les politiques de configuration peuvent être utilisées pour activer et désactiver Security Hub CSPM, activer et désactiver les normes, ainsi que pour activer et désactiver les contrôles.
+ Traitez automatiquement les *nouveaux* comptes comme des comptes membres du Security Hub CSPM lorsqu'ils rejoignent l'organisation. Si vous utilisez la configuration centralisée, une politique de configuration associée à une unité d'organisation inclut les comptes existants et nouveaux qui font partie de l'unité d'organisation.
+ Traitez *les comptes d'organisation existants* comme des comptes membres du Security Hub CSPM. Cela se produit automatiquement si vous utilisez la configuration centralisée.
+ Dissociez les comptes des membres appartenant à l'organisation. Si vous utilisez la configuration centralisée, vous ne pouvez dissocier un compte membre qu'après l'avoir désigné comme étant autogéré. Vous pouvez également associer une politique de configuration qui désactive Security Hub CSPM à des comptes membres spécifiques gérés de manière centralisée.
Si vous n'optez pas pour la configuration centralisée, votre organisation utilise le type de configuration par défaut appelé configuration locale. Dans le cadre de la configuration locale, la capacité de l'administrateur délégué à appliquer les paramètres aux comptes des membres est plus limitée. Pour de plus amples informations, veuillez consulter [Comprendre la configuration locale dans Security Hub CSPM](local-configuration.md).
Pour obtenir la liste complète des actions que l'administrateur délégué peut effectuer sur les comptes des membres, consultez[Actions autorisées par les comptes administrateur et membre dans Security Hub CSPM](securityhub-accounts-allowed-actions.md).
Les rubriques de cette section expliquent comment intégrer Security Hub CSPM à Security Hub CSPM AWS Organizations et comment gérer le Security Hub CSPM pour les comptes d'une organisation. Le cas échéant, chaque section identifie les avantages et les différences de gestion pour les utilisateurs de la configuration centralisée.
**Topics**
+ [Intégration de Security Hub CSPM à AWS Organizations](designate-orgs-admin-account.md)
+ [Activation automatique du Security Hub CSPM dans les nouveaux comptes d'entreprise](accounts-orgs-auto-enable.md)
+ [Activation manuelle du Security Hub CSPM dans les nouveaux comptes d'organisation](orgs-accounts-enable.md)
+ [Dissocier les comptes membres du Security Hub CSPM de votre organisation](accounts-orgs-disassociate.md)
# Intégration de Security Hub CSPM à AWS Organizations
Pour intégrer AWS Security Hub CSPM AWS Organizations, vous devez créer une organisation dans Organizations et utiliser le compte de gestion de l'organisation pour désigner un compte administrateur Security Hub CSPM délégué. Cela permet à Security Hub CSPM de devenir un service fiable dans les Organizations. Il active également Security Hub CSPM en cours Région AWS pour le compte administrateur délégué, et il permet à l'administrateur délégué d'activer Security Hub CSPM pour les comptes membres, de consulter les données des comptes membres et d'effectuer d'autres [actions autorisées](securityhub-accounts-allowed-actions.md) sur les comptes membres.
Si vous utilisez la [configuration centralisée](central-configuration-intro.md), l'administrateur délégué peut également créer des politiques de configuration Security Hub CSPM qui spécifient comment le service, les normes et les contrôles Security Hub CSPM doivent être configurés dans les comptes de l'organisation.
## Création d'une organisation
Une organisation est une entité que vous créez pour consolider les vôtres Comptes AWS afin de pouvoir les administrer en tant qu'unité unique.
Vous pouvez créer une organisation à l'aide de la AWS Organizations console ou à l'aide d'une commande provenant du AWS CLI ou de l'un des kits SDK APIs. Pour obtenir des instructions détaillées, voir [Création d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) dans le *guide de AWS Organizations l'utilisateur*.
Vous pouvez l'utiliser AWS Organizations pour visualiser et gérer de manière centralisée tous les comptes de votre organisation. Une organisation possède un compte de gestion avec zéro ou plusieurs comptes membres. Vous pouvez organiser les comptes dans une structure hiérarchique arborescente avec une racine en haut et des unités organisationnelles (OUs) imbriquées sous la racine. Chaque compte peut être placé directement sous la racine ou dans l'un des comptes de la hiérarchie. OUs Une UO est un conteneur pour des comptes spécifiques. Par exemple, vous pouvez créer une unité d'organisation financière qui inclut tous les comptes liés aux opérations financières.
## Recommandations pour le choix de l'administrateur délégué du Security Hub CSPM
Si vous avez créé un compte administrateur à la suite du processus d'invitation manuel et que vous êtes en train de passer à la gestion des comptes avec AWS Organizations, nous vous recommandons de désigner ce compte en tant qu'administrateur délégué du Security Hub CSPM.
Bien que le Security Hub CSPM APIs et la console autorisent le compte de gestion de l'organisation à être l'administrateur délégué du Security Hub CSPM, nous vous recommandons de choisir deux comptes différents. Cela est dû au fait que les utilisateurs qui ont accès au compte de gestion de l'organisation pour gérer la facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder au Security Hub CSPM pour la gestion de la sécurité.
Nous recommandons d'utiliser le même administrateur délégué dans toutes les régions. Si vous optez pour la configuration centralisée, Security Hub CSPM désigne automatiquement le même administrateur délégué dans votre région d'origine et dans toutes les régions associées.
## Vérifiez les autorisations pour configurer l'administrateur délégué
Pour désigner et supprimer un compte administrateur Security Hub CSPM délégué, le compte de gestion de l'organisation doit disposer des autorisations nécessaires pour les `DisableOrganizationAdminAccount` actions `EnableOrganizationAdminAccount` et dans Security Hub CSPM. Le compte de gestion Organizations doit également disposer d'autorisations administratives pour les Organizations.
Pour accorder toutes les autorisations requises, associez les politiques gérées par Security Hub CSPM suivantes au principal IAM du compte de gestion de l'organisation :
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)
## Désignation de l'administrateur délégué
Pour désigner le compte administrateur Security Hub CSPM délégué, vous pouvez utiliser la console Security Hub CSPM, l'API Security Hub CSPM ou. AWS CLI Security Hub CSPM définit l'administrateur délégué Région AWS uniquement dans la version actuelle, et vous devez répéter l'action dans les autres régions. Si vous commencez à utiliser la configuration centralisée, Security Hub CSPM définit automatiquement le même administrateur délégué dans la région d'origine et dans les régions associées.
Il n'est pas nécessaire que le compte de gestion de l'organisation active Security Hub CSPM soit activé pour désigner le compte administrateur délégué du Security Hub CSPM.
Nous recommandons que le compte de gestion de l'organisation ne soit pas le compte administrateur délégué du Security Hub CSPM. Toutefois, si vous choisissez le compte de gestion de l'organisation comme administrateur délégué de Security Hub CSPM, Security Hub CSPM doit être activé sur le compte de gestion. Si Security Hub CSPM n'est pas activé sur le compte de gestion, vous devez activer Security Hub CSPM manuellement. Security Hub CSPM ne peut pas être activé automatiquement pour le compte de gestion de l'organisation.
Vous devez désigner l'administrateur délégué du Security Hub CSPM à l'aide de l'une des méthodes suivantes. La désignation de l'administrateur délégué du Security Hub CSPM par Organizations APIs ne se reflète pas dans Security Hub CSPM.
Choisissez votre méthode préférée et suivez les étapes pour désigner le compte administrateur délégué du Security Hub CSPM.
------
#### [ Security Hub CSPM console ]
**Pour désigner l'administrateur délégué lors de l'intégration**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Choisissez **Go to Security Hub CSPM**. Vous êtes invité à vous connecter au compte de gestion de l'organisation.
1. Sur la page **Désigner un administrateur délégué**, dans la section **Compte d'administrateur délégué**, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.
1. Choisissez **Définir un administrateur délégué**. Vous êtes invité à vous connecter au compte d'administrateur délégué (si ce n'est pas déjà fait) pour poursuivre l'intégration grâce à la configuration centralisée. Si vous ne souhaitez pas démarrer la configuration centralisée, choisissez **Annuler**. Votre administrateur délégué est configuré, mais vous n'utilisez pas encore la configuration centralisée.
**Pour désigner l'administrateur délégué depuis la page **Paramètres****
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Dans le volet de navigation Security Hub CSPM, choisissez Settings.** Choisissez ensuite **Général**.
1. Si un compte administrateur Security Hub CSPM est actuellement attribué, vous devez supprimer le compte actuel avant de pouvoir désigner un nouveau compte.
Sous **Administrateur délégué**, pour supprimer le compte actuel, choisissez **Supprimer**.
1. Entrez l'identifiant du compte que vous souhaitez désigner comme compte administrateur **Security Hub CSPM**.
Vous devez désigner le même compte administrateur Security Hub CSPM dans toutes les régions. Si vous désignez un compte différent de celui désigné dans d'autres régions, la console renvoie un message d'erreur.
1. Choisisssez **Delegate** (Déléguer).
------
#### [ Security Hub CSPM API, AWS CLI ]
Depuis le compte de gestion de l'organisation, utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)commande. Indiquez l' Compte AWS ID de l'administrateur délégué du Security Hub CSPM.
L'exemple suivant désigne l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```
------
# Supprimer ou modifier l'administrateur délégué
Seul le compte de gestion de l'organisation peut supprimer le compte administrateur délégué du Security Hub CSPM.
Pour modifier l'administrateur délégué du Security Hub CSPM, vous devez d'abord supprimer le compte administrateur délégué actuel, puis en désigner un nouveau.
**Avertissement**
Lorsque vous utilisez la [configuration centralisée](central-configuration-intro.md), vous ne pouvez pas utiliser la console Security Hub CSPM ou le Security Hub CSPM APIs pour modifier ou supprimer le compte d'administrateur délégué. Si le compte de gestion de l'organisation utilise la AWS Organizations console ou AWS Organizations APIs pour modifier ou supprimer l'administrateur délégué de Security Hub CSPM, Security Hub CSPM arrête automatiquement la configuration centrale et supprime vos politiques de configuration et vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué.
Si vous utilisez la console Security Hub CSPM pour supprimer l'administrateur délégué dans une région, il est automatiquement supprimé dans toutes les régions.
L'API Security Hub CSPM supprime uniquement le compte administrateur Security Hub CSPM délégué de la région dans laquelle l'appel ou la commande d'API est émis. Vous devez répéter l'action dans les autres régions.
Si vous utilisez l'API Organizations pour supprimer le compte administrateur délégué de Security Hub CSPM, celui-ci est automatiquement supprimé dans toutes les régions.
## Suppression de l'administrateur délégué (API Organizations, AWS CLI)
Vous pouvez utiliser Organizations pour supprimer l'administrateur délégué du Security Hub CSPM dans toutes les régions.
Si vous utilisez la configuration centralisée pour gérer les comptes, la suppression du compte d'administrateur délégué entraîne la suppression de vos politiques de configuration et de vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué. Toutefois, ces comptes ne peuvent plus être gérés par le compte d'administrateur délégué supprimé. Ils deviennent des comptes autogérés qui doivent être configurés séparément dans chaque région.
Choisissez votre méthode préférée et suivez les instructions pour supprimer le compte administrateur délégué de Security Hub CSPM avec. AWS Organizations
------
#### [ Organizations API, AWS CLI ]
**Pour supprimer l'administrateur délégué du Security Hub CSPM**
Depuis le compte de gestion de l'organisation, utilisez le [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)fonctionnement de l'API Organizations. Si vous utilisez le AWS CLI, exécutez la [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)commande. Indiquez l'ID de compte de l'administrateur délégué et le principal de service pour Security Hub CSPM, à savoir. `securityhub.amazonaws.com`
L'exemple suivant supprime l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```
------
## Suppression de l'administrateur délégué (console Security Hub CSPM)
Vous pouvez utiliser la console Security Hub CSPM pour supprimer l'administrateur CSPM délégué de Security Hub dans toutes les régions.
Lorsque le compte administrateur CSPM délégué du Security Hub est supprimé, les comptes des membres sont dissociés du compte administrateur délégué du Security Hub CSPM supprimé.
Security Hub CSPM est toujours activé dans les comptes des membres. Ils deviennent des comptes autonomes jusqu'à ce qu'un nouvel administrateur Security Hub CSPM les autorise en tant que comptes membres.
Si le compte de gestion de l'organisation n'est pas un compte activé dans Security Hub CSPM, utilisez l'option sur la page **Welcome to Security Hub CSPM**.
**Pour supprimer le compte administrateur CSPM délégué de Security Hub depuis la page **Welcome to Security Hub** CSPM**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Choisissez **Go to Security Hub**.
1. Sous **Administrateur délégué**, choisissez **Supprimer**.
Si le compte de gestion de l'organisation est un compte activé dans **Security Hub**, utilisez l'option de l'onglet **Général** de la page **Paramètres**.
****Pour supprimer le compte administrateur CSPM délégué de Security Hub depuis la page Paramètres****
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Dans le volet de navigation Security Hub CSPM, choisissez Settings.** Choisissez ensuite **Général**.
1. Sous **Administrateur délégué**, choisissez **Supprimer**.
## Suppression de l'administrateur délégué (API Security Hub CSPM,) AWS CLI
Vous pouvez utiliser l'API Security Hub CSPM ou les opérations Security Hub CSPM pour supprimer l' AWS CLI administrateur CSPM délégué du Security Hub. Lorsque vous supprimez l'administrateur délégué à l'aide de l'une de ces méthodes, il n'est supprimé que dans la région où l'appel ou la commande d'API a été émis. Security Hub CSPM ne met pas à jour les autres régions et ne supprime pas le compte d'administrateur délégué dans. AWS Organizations
Choisissez votre méthode préférée et suivez ces étapes pour supprimer le compte administrateur délégué de Security Hub CSPM auprès de Security Hub CSPM.
------
#### [ Security Hub CSPM API, AWS CLI ]
**Pour supprimer l'administrateur délégué du Security Hub CSPM**
Depuis le compte de gestion de l'organisation, utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)commande. Indiquez l'ID de compte de l'administrateur délégué du Security Hub CSPM.
L'exemple suivant supprime l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```
------
# Désactivation de l'intégration de Security Hub CSPM avec AWS Organizations
Une fois qu'une AWS Organizations organisation est intégrée à AWS Security Hub CSPM, le compte de gestion des Organizations peut ensuite désactiver l'intégration. En tant qu'utilisateur du compte de gestion des Organizations, vous pouvez le faire en désactivant l'accès sécurisé pour Security Hub CSPM dans. AWS Organizations
Lorsque vous désactivez l'accès sécurisé pour Security Hub CSPM, les événements suivants se produisent :
+ Security Hub CSPM perd son statut de service de confiance en. AWS Organizations
+ Le compte administrateur délégué du Security Hub CSPM perd l'accès aux paramètres, aux données et aux ressources du Security Hub CSPM pour tous les comptes membres du Security Hub CSPM. Régions AWS
+ Si vous utilisiez la [configuration centralisée](central-configuration-intro.md), Security Hub CSPM cesse automatiquement de l'utiliser pour votre organisation. Vos politiques de configuration et vos associations de politiques sont supprimées. Les comptes conservent les configurations qu'ils avaient avant que vous ne désactiviez l'accès sécurisé.
+ Tous les comptes membres du Security Hub CSPM deviennent des comptes autonomes et conservent leurs paramètres actuels. Si Security Hub CSPM a été activé pour un compte membre dans une ou plusieurs régions, le Security Hub CSPM continue d'être activé pour le compte dans ces régions. Les normes et contrôles activés restent également inchangés. Vous pouvez modifier ces paramètres séparément dans chaque compte et région. Toutefois, le compte n'est plus associé à un administrateur délégué dans aucune région.
Pour plus d'informations sur les conséquences de la désactivation de l'accès aux services sécurisés, consultez la section [Utilisation AWS Organizations avec d'autres](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) personnes Services AWS dans le *Guide de l'AWS Organizations utilisateur*.
Pour désactiver l'accès sécurisé, vous pouvez utiliser la AWS Organizations console, l'API Organizations ou le AWS CLI. Seul un utilisateur du compte de gestion des Organizations peut désactiver l'accès aux services sécurisés pour Security Hub CSPM. Pour plus de détails sur les autorisations dont vous avez besoin, consultez la section [Autorisations requises pour désactiver l'accès sécurisé](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) dans le *Guide de AWS Organizations l'utilisateur*.
Avant de désactiver l'accès sécurisé, nous vous recommandons de contacter l'administrateur délégué de votre organisation afin de désactiver le Security Hub CSPM dans les comptes membres et de nettoyer les ressources Security Hub CSPM de ces comptes.
Choisissez votre méthode préférée et suivez les étapes pour désactiver l'accès sécurisé pour Security Hub CSPM.
------
#### [ Organizations console ]
**Pour désactiver l'accès sécurisé pour Security Hub CSPM**
1. Connectez-vous à l' AWS Management Console aide des informations d'identification du compte AWS Organizations de gestion.
1. Ouvrez la console Organizations à l'adresse [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).
1. Dans le panneau de navigation, choisissez **Services**.
1. Sous **Services intégrés**, choisissez **AWS Security Hub CSPM**.
1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.
1. Confirmez que vous souhaitez désactiver l'accès sécurisé.
------
#### [ Organizations API ]
**Pour désactiver l'accès sécurisé pour Security Hub CSPM**
Invoquez [l'opération Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) de l' AWS Organizations API. Pour le `ServicePrincipal` paramètre, spécifiez le principal du service Security Hub CSPM ()`securityhub.amazonaws.com`.
------
#### [ AWS CLI ]
**Pour désactiver l'accès sécurisé pour Security Hub CSPM**
Exécutez la [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)commande de l' AWS Organizations API. Pour le `service-principal` paramètre, spécifiez le principal du service Security Hub CSPM ()`securityhub.amazonaws.com`.
**Exemple :**
```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```
------
# Activation automatique du Security Hub CSPM dans les nouveaux comptes d'entreprise
Lorsque de nouveaux comptes rejoignent votre organisation, ils sont ajoutés à la liste sur la page **Comptes** de la console AWS Security Hub CSPM. Pour les comptes de l’organisation, le **type** est **Par organisation**. Par défaut, les nouveaux comptes ne deviennent pas membres du Security Hub CSPM lorsqu'ils rejoignent l'organisation. Leur statut est **Non membre**. Le compte d'administrateur délégué peut automatiquement ajouter de nouveaux comptes en tant que membres et activer Security Hub CSPM sur ces comptes lorsqu'ils rejoignent l'organisation.
**Note**
Bien que plusieurs d'entre Régions AWS elles soient actives par défaut pour votre région Compte AWS, vous devez activer certaines régions manuellement. Ces régions sont appelées « régions optionnelles » dans ce document. Pour activer automatiquement le Security Hub CSPM sur un nouveau compte dans une région optionnelle, cette région doit d'abord être activée sur le compte. Seul le titulaire du compte peut activer la région opt-in. Pour plus d'informations sur les régions optionnelles, voir [Spécifier celles que Régions AWS votre compte peut utiliser](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).
Ce processus est différent selon que vous utilisez la configuration centrale (recommandée) ou la configuration locale.
## Activation automatique des nouveaux comptes d'entreprise (configuration centrale)
Si vous utilisez la [configuration centralisée](central-configuration-intro.md), vous pouvez activer automatiquement le Security Hub CSPM dans les comptes d'organisation nouveaux et existants en créant une politique de configuration dans laquelle le Security Hub CSPM est activé. Vous pouvez ensuite associer la politique à la racine de l'organisation ou à des unités organisationnelles spécifiques (OUs).
Si vous associez une politique de configuration dans laquelle Security Hub CSPM est activé à une unité d'organisation spécifique, Security Hub CSPM est automatiquement activé dans tous les comptes (existants et nouveaux) appartenant à cette unité d'organisation. Les nouveaux comptes qui n'appartiennent pas à l'unité d'organisation sont autogérés et le Security Hub CSPM n'est pas automatiquement activé. Si vous associez une politique de configuration dans laquelle Security Hub CSPM est activé à la racine, Security Hub CSPM est automatiquement activé dans tous les comptes (existants et nouveaux) qui rejoignent l'organisation. Les exceptions sont les cas où un compte utilise une politique différente par le biais d'une application ou d'un héritage, ou s'il est autogéré.
Dans votre politique de configuration, vous pouvez également définir les normes et contrôles de sécurité qui doivent être activés dans l'unité d'organisation. Pour générer des résultats de contrôle pour les normes activées, les comptes de l'unité d'organisation doivent être AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config l'enregistrement, voir [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
Pour obtenir des instructions sur la création d'une politique de configuration, consultez[Création et association de politiques de configuration](create-associate-policy.md).
## Activation automatique des nouveaux comptes d'organisation (configuration locale)
Lorsque vous utilisez la configuration locale et que vous activez l'activation automatique des normes par défaut, Security Hub CSPM ajoute de *nouveaux* comptes d'organisation en tant que membres et active Security Hub CSPM dans ces comptes dans la région actuelle. Les autres régions ne sont pas touchées. En outre, l'activation automatique n'active pas le Security Hub CSPM dans les comptes d'organisation *existants*, sauf s'ils ont déjà été ajoutés en tant que comptes membres.
Une fois l'activation automatique activée, les normes de sécurité par défaut sont activées pour les nouveaux comptes membres de la région actuelle lorsqu'ils rejoignent l'organisation. Les normes par défaut sont AWS Foundational Security Best Practices (FSBP) et Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Vous ne pouvez pas modifier les normes par défaut. Si vous souhaitez activer d'autres normes au sein de votre organisation, ou activer des normes pour certains comptes OUs, nous vous recommandons d'utiliser une configuration centralisée.
Pour générer des résultats de contrôle pour les normes par défaut (et les autres normes activées), les comptes de votre organisation doivent avoir été AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config l'enregistrement, voir [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
Choisissez votre méthode préférée et suivez les étapes pour activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'entreprise. Ces instructions s'appliquent uniquement si vous utilisez une configuration locale.
------
#### [ Security Hub CSPM console ]
**Pour activer automatiquement les nouveaux comptes d'organisation en tant que membres du Security Hub CSPM**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Sign utilise les informations d'identification du compte d'administrateur délégué.
1. **Dans le volet de navigation Security Hub CSPM, sous **Paramètres**, sélectionnez Configuration.**
1. Dans la section **Comptes**, activez l'**activation automatique des comptes**.
------
#### [ Security Hub CSPM API ]
**Pour activer automatiquement les nouveaux comptes d'organisation en tant que membres du Security Hub CSPM**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API depuis le compte d'administrateur délégué. Définissez le `AutoEnable` champ sur `true` pour activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation.
------
#### [ AWS CLI ]
**Pour activer automatiquement les nouveaux comptes d'organisation en tant que membres du Security Hub CSPM**
Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)commande depuis le compte administrateur délégué. Incluez le `auto-enable` paramètre permettant d'activer automatiquement Security Hub CSPM dans les nouveaux comptes d'organisation.
```
aws securityhub update-organization-configuration --auto-enable
```
------
# Activation manuelle du Security Hub CSPM dans les nouveaux comptes d'organisation
Si vous n'activez pas automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation lorsqu'ils rejoignent l'organisation, vous pouvez ajouter ces comptes en tant que membres et y activer le Security Hub CSPM manuellement une fois qu'ils ont rejoint l'organisation. Vous devez également activer manuellement le Security Hub CSPM dans Comptes AWS le cas où vous vous êtes précédemment dissocié d'une organisation.
**Note**
Cette section ne s'applique pas à vous si vous utilisez [la configuration centralisée](central-configuration-intro.md). Si vous utilisez la configuration centralisée, vous pouvez créer des politiques de configuration qui activent le Security Hub CSPM dans des comptes membres et des unités organisationnelles spécifiques ()OUs. Vous pouvez également activer des normes et des contrôles spécifiques dans ces comptes et OUs.
Vous ne pouvez pas activer Security Hub CSPM dans un compte s'il s'agit déjà d'un compte membre au sein d'une autre organisation.
Vous ne pouvez pas non plus activer Security Hub CSPM dans un compte actuellement suspendu. Si vous essayez d'activer le service sur un compte suspendu, le statut du compte passe à **Compte suspendu**.
+ Si Security Hub CSPM n'est pas activé sur le compte, Security Hub CSPM est activé sur ce compte. La norme AWS Foundational Security Best Practices (FSBP) et le CIS AWS Foundations Benchmark v1.2.0 sont également activés dans le compte, sauf si vous désactivez les normes de sécurité par défaut.
L'exception à cette règle est le compte de gestion des Organizations. Security Hub CSPM ne peut pas être activé automatiquement dans le compte de gestion des Organizations. Vous devez activer manuellement Security Hub CSPM dans le compte de gestion des Organizations avant de pouvoir l'ajouter en tant que compte membre.
+ Si Security Hub CSPM est déjà activé sur le compte, Security Hub CSPM n'apporte aucune autre modification au compte. Cela permet uniquement l'adhésion.
Pour que Security Hub CSPM puisse générer des résultats de contrôle, les comptes membres doivent être AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations, consultez [Activation et configuration de AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
Choisissez votre méthode préférée et suivez les étapes pour activer un compte d'organisation en tant que compte membre du Security Hub CSPM.
------
#### [ Security Hub CSPM console ]
**Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte d'administrateur délégué.
1. **Dans le volet de navigation Security Hub CSPM, sous **Paramètres**, sélectionnez Configuration.**
1. Dans la liste des **comptes**, sélectionnez chaque compte d'organisation que vous souhaitez activer.
1. Choisissez **Actions**, puis **Add member (Ajouter un membre)**.
------
#### [ Security Hub CSPM API ]
**Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API depuis le compte d'administrateur délégué. Pour chaque compte à activer, indiquez l'identifiant du compte.
Contrairement au processus d'invitation manuel, lorsque vous appelez `CreateMembers` pour activer un compte d'organisation, vous n'avez pas besoin d'envoyer d'invitation.
------
#### [ AWS CLI ]
**Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM**
Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)commande depuis le compte administrateur délégué. Pour chaque compte à activer, indiquez l'identifiant du compte.
Contrairement au processus d'invitation manuel, lorsque vous lancez un appel `create-members` pour activer un compte d'organisation, vous n'avez pas besoin d'envoyer d'invitation.
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**Exemple**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
# Dissocier les comptes membres du Security Hub CSPM de votre organisation
Pour arrêter de recevoir et de consulter les résultats d'un compte membre du AWS Security Hub CSPM, vous pouvez dissocier le compte membre de votre organisation.
**Note**
Si vous utilisez la [configuration centralisée, la](central-configuration-intro.md) dissociation fonctionne différemment. Vous pouvez créer une politique de configuration qui désactive Security Hub CSPM dans un ou plusieurs comptes membres gérés de manière centralisée. Par la suite, ces comptes font toujours partie de l'organisation, mais ne généreront pas les résultats du Security Hub CSPM. Si vous utilisez la configuration centralisée mais que vous avez également des comptes de membres invités manuellement, vous pouvez dissocier un ou plusieurs comptes invités manuellement.
Les comptes membres gérés via ne AWS Organizations peuvent pas dissocier leurs comptes du compte administrateur. Seul le compte administrateur peut dissocier un compte membre.
La dissociation d'un compte membre ne ferme pas le compte. Il supprime plutôt le compte membre de l'organisation. Le compte de membre dissocié devient un compte autonome Compte AWS qui n'est plus géré par l'intégration de Security Hub CSPM avec. AWS Organizations
Choisissez votre méthode préférée et suivez les étapes pour dissocier un compte membre de l'organisation.
------
#### [ Security Hub CSPM console ]
**Pour dissocier un compte membre de l'organisation**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte d'administrateur délégué.
1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Configuration**.
1. Dans la section **Comptes**, sélectionnez les comptes que vous souhaitez dissocier. Si vous utilisez la configuration centrale, vous pouvez sélectionner un compte invité manuellement à dissocier de l'onglet. `Invitation accounts` Cet onglet n'est visible que si vous utilisez la configuration centralisée.
1. Choisissez **Actions**, puis **Dissocier le compte**.
------
#### [ Security Hub CSPM API ]
**Pour dissocier un compte membre de l'organisation**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API depuis le compte d'administrateur délégué. Vous devez indiquer les comptes Compte AWS IDs des membres à dissocier. Pour consulter la liste des comptes des membres, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API.
------
#### [ AWS CLI ]
**Pour dissocier un compte membre de l'organisation**
Exécutez la `disassociate-members` commande [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) depuis le compte administrateur délégué. Vous devez indiquer les comptes Compte AWS IDs des membres à dissocier. Pour afficher la liste des comptes des membres, exécutez la `list-members` commande [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).
```
aws securityhub disassociate-members --account-ids ""
```
**Exemple**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
Vous pouvez également utiliser la AWS Organizations console ou AWS SDKs dissocier un compte membre de votre organisation. AWS CLI Pour plus d'informations, consultez la section [Suppression d'un compte membre de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) dans le *Guide de AWS Organizations l'utilisateur*.
# Gestion des comptes sur invitation dans Security Hub CSPM
Vous pouvez gérer de manière centralisée plusieurs comptes AWS Security Hub CSPM de deux manières : en intégrant Security Hub CSPM à Security Hub AWS Organizations ou en envoyant et en acceptant manuellement des invitations d'adhésion. Vous devez utiliser le processus manuel si vous possédez un compte autonome ou si vous ne l'intégrez pas à AWS Organizations. Dans le cadre de la gestion manuelle des comptes, l'administrateur du Security Hub CSPM invite les comptes à devenir membres. La relation administrateur-membre est établie lorsqu'un membre potentiel accepte l'invitation. Un compte administrateur Security Hub CSPM peut gérer Security Hub CSPM pour un maximum de 1 000 comptes membres sur invitation.
**Note**
[Si vous créez une organisation basée sur des invitations dans Security Hub CSPM, vous pouvez ensuite passer à l'utilisation à la place. AWS Organizations](accounts-transition-to-orgs.md) Si vous avez plusieurs comptes membres, nous vous recommandons d'utiliser les invitations CSPM à la AWS Organizations place de Security Hub pour gérer vos comptes membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).
L'agrégation interrégionale des résultats et d'autres données est disponible pour les comptes que vous invitez par le biais du processus d'invitation manuel. Toutefois, l'administrateur doit inviter le compte membre de la région d'agrégation et de toutes les régions associées pour que l'agrégation entre régions fonctionne. En outre, Security Hub CSPM doit être activé dans la région d'agrégation et dans toutes les régions associées pour permettre à l'administrateur de consulter les résultats du compte membre.
Les politiques de configuration ne sont pas prises en charge pour les comptes de membres invités manuellement. Au lieu de cela, vous devez configurer les paramètres Security Hub CSPM séparément dans chaque compte membre et Région AWS lorsque vous utilisez le processus d'invitation manuel.
Vous devez également utiliser le processus manuel basé sur les invitations pour les comptes qui n'appartiennent pas à votre organisation. Par exemple, il se peut que vous n'incluiez pas de compte de test dans votre organisation. Vous pouvez également regrouper les comptes de plusieurs organisations sous un seul compte administrateur Security Hub CSPM. Le compte administrateur du Security Hub CSPM doit envoyer des invitations aux comptes appartenant à d'autres organisations.
Sur la page de **configuration** de la console Security Hub CSPM, les comptes ajoutés sur invitation sont répertoriés dans l'onglet **Comptes d'invitation**. Si vous utilisez la [configuration centralisée](central-configuration-intro.md), mais que vous invitez également des comptes extérieurs à votre organisation, vous pouvez consulter les résultats des comptes basés sur des invitations dans cet onglet. Toutefois, l'administrateur CSPM de Security Hub ne peut pas configurer de comptes basés sur des invitations dans toutes les régions en utilisant des politiques de configuration.
Les rubriques de cette section expliquent comment gérer les comptes des membres par le biais d'invitations.
**Topics**
+ [Ajouter et inviter des comptes membres dans Security Hub CSPM](securityhub-accounts-add-invite.md)
+ [Répondre à une invitation à devenir membre du Security Hub CSPM](securityhub-invitation-respond.md)
+ [Dissociation des comptes membres dans Security Hub CSPM](securityhub-disassociate-members.md)
+ [Supprimer des comptes de membres dans Security Hub CSPM](securityhub-delete-member-accounts.md)
+ [Dissociation d'un compte administrateur Security Hub CSPM](securityhub-disassociate-from-admin.md)
+ [Transition vers Organizations pour gérer les comptes dans Security Hub CSPM](accounts-transition-to-orgs.md)
# Ajouter et inviter des comptes membres dans Security Hub CSPM
**Note**
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).
Votre compte devient l'administrateur du AWS Security Hub CSPM pour les comptes qui acceptent votre invitation à devenir un compte membre du Security Hub CSPM.
Lorsque vous acceptez une invitation provenant d'un autre compte, votre compte devient un compte membre, et ce compte devient votre administrateur.
Si votre compte est un compte administrateur, vous ne pouvez pas accepter une invitation à devenir membre.
L'ajout d'un compte membre comprend les étapes suivantes :
1. Le compte administrateur ajoute le compte du membre à sa liste de comptes membres.
1. Le compte administrateur envoie une invitation au compte membre.
1. Le compte membre accepte l'invitation.
## Ajouter des comptes de membres
Depuis la console Security Hub CSPM, vous pouvez ajouter des comptes à votre liste de comptes membres. Dans la console Security Hub CSPM, vous pouvez sélectionner des comptes individuellement ou télécharger un `.csv` fichier contenant les informations du compte.
Pour chaque compte, vous devez fournir l'identifiant du compte et une adresse e-mail. L'adresse e-mail doit être l'adresse e-mail à contacter pour tout problème de sécurité lié au compte. Il n'est pas utilisé pour vérifier le compte.
Choisissez votre méthode préférée et suivez les étapes pour ajouter des comptes de membre.
------
#### [ Security Hub CSPM console ]
**Pour ajouter des comptes à votre liste de comptes membres**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur.
1. Dans le volet de gauche, choisissez **Settings (Paramètres)**.
1. Sur la page **Paramètres**, sélectionnez **Comptes**, puis **Ajouter des comptes**. Vous pouvez ensuite ajouter des comptes individuellement ou télécharger un `.csv` fichier contenant la liste des comptes.
1. Pour sélectionner les comptes, effectuez l'une des opérations suivantes :
+ Pour ajouter les comptes individuellement, sous **Entrez les comptes**, entrez l'ID du compte et l'adresse e-mail du compte à ajouter, puis choisissez **Ajouter**.
Répétez cette procédure pour chaque compte.
+ Pour utiliser un fichier de valeurs séparées par des virgules (.csv) pour ajouter plusieurs comptes, créez d'abord le fichier. Le fichier doit contenir l'identifiant du compte et l'adresse e-mail de chaque compte à ajouter.
Dans votre `.csv` liste, les comptes doivent apparaître un par ligne. La première ligne du `.csv` fichier doit contenir l'en-tête. Dans l'en-tête, la première colonne est **Account ID** et la deuxième colonne est**Email**.
Chaque ligne suivante doit contenir un ID de compte et une adresse e-mail valides pour le compte à ajouter.
Voici un exemple de `.csv` fichier affiché dans un éditeur de texte.
```
Account ID,Email
111111111111,user@example.com
```
Dans un tableur, les champs apparaissent dans des colonnes distinctes. Le format sous-jacent est toujours séparé par des virgules. Vous devez formater le compte IDs sous forme de nombres non décimaux. Par exemple, l'ID de compte 444455556666 ne peut pas être formaté sous la forme 444455556666.0. Assurez-vous également que le formatage des nombres ne supprime aucun zéro en début de compte.
Pour sélectionner le fichier, sur la console, choisissez **Upload list (.csv)**. Choisissez ensuite **Parcourir**.
Après avoir sélectionné le fichier, choisissez **Ajouter des comptes**.
1. Une fois que vous avez terminé d'ajouter **des comptes, sous Comptes à ajouter**, sélectionnez **Suivant**.
------
#### [ Security Hub CSPM API ]
**Pour ajouter des comptes à votre liste de comptes membres**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API depuis le compte administrateur. Pour chaque compte membre à ajouter, vous devez fournir l' Compte AWS identifiant.
------
#### [ AWS CLI ]
**Pour ajouter des comptes à votre liste de comptes membres**
Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)commande depuis le compte administrateur. Pour chaque compte membre à ajouter, vous devez fournir l' Compte AWS identifiant.
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**Exemple**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
## Inviter des comptes membres
Après avoir ajouté les comptes de membre, vous envoyez une invitation au compte de membre. Vous pouvez également renvoyer une invitation à un compte que vous avez dissocié de l'administrateur.
------
#### [ Security Hub CSPM console ]
**Pour inviter des comptes de membres potentiels**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur.
1. Dans le volet de navigation, choisissez **Paramètres**, puis **Comptes**.
1. Pour le compte à inviter, choisissez **Invite (Inviter)** dans la colonne **Status (Statut)**.
1. Lorsque vous êtes invité à confirmer, choisissez **Inviter**.
**Note**
**Pour renvoyer des invitations à des comptes dissociés, sélectionnez chaque compte dissocié sur la page Comptes.** Pour **Actions**, choisissez **Renvoyer l'invitation**.
------
#### [ Security Hub CSPM API ]
**Pour inviter des comptes de membres potentiels**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html)API depuis le compte administrateur. Pour chaque compte à inviter, vous devez fournir l' Compte AWS identifiant.
------
#### [ AWS CLI ]
**Pour inviter des comptes de membres potentiels**
Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html)commande depuis le compte administrateur. Pour chaque compte à inviter, vous devez fournir l' Compte AWS identifiant.
```
aws securityhub invite-members --account-ids
```
**Exemple**
```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```
------
# Répondre à une invitation à devenir membre du Security Hub CSPM
**Note**
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).
Vous pouvez accepter ou refuser une invitation à devenir membre du AWS Security Hub CSPM.
Si vous acceptez une invitation, votre compte devient un compte membre du Security Hub CSPM. Le compte qui a envoyé l'invitation devient votre compte administrateur Security Hub CSPM. L'utilisateur du compte administrateur peut consulter les résultats de votre compte membre dans Security Hub CSPM.
Si vous refusez l'invitation, votre compte est marqué comme **Désigné** sur la liste des comptes membres du compte administrateur.
Vous ne pouvez accepter qu'une seule invitation pour créer un compte membre.
Avant d'accepter ou de refuser une invitation, vous devez activer Security Hub CSPM.
N'oubliez pas que tous les comptes Security Hub CSPM doivent être AWS Config activés et configurés pour enregistrer toutes les ressources. Pour plus de détails sur la configuration requise AWS Config, voir [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
## Acceptation d'une invitation
Vous pouvez envoyer une invitation pour devenir membre du Security Hub CSPM depuis le compte administrateur. Vous pouvez ensuite accepter l'invitation après vous être connecté au compte membre.
Choisissez votre méthode préférée et suivez les étapes pour accepter une invitation à devenir membre.
------
#### [ Security Hub CSPM console ]
**Pour accepter une invitation d'adhésion**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Paramètres**, puis **Comptes**.
1. Dans la section **Compte administrateur**, activez **Accepter**, puis sélectionnez **Accepter l'invitation**.
------
#### [ Security Hub CSPM API ]
**Pour accepter une invitation d'adhésion**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html)API. Vous devez fournir l'identifiant de l'invitation et l' Compte AWS identifiant du compte administrateur. Pour récupérer les détails de l'invitation, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)opération.
------
#### [ AWS CLI ]
**Pour accepter une invitation d'adhésion**
Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html). Vous devez fournir l'identifiant de l'invitation et l' Compte AWS identifiant du compte administrateur. Pour récupérer les détails de l'invitation, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)commande.
```
aws securityhub accept-administrator-invitation --administrator-id --invitation-id
```
**Exemple**
```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```
------
**Note**
La console Security Hub CSPM continue de fonctionner. `AcceptInvitation` Il finira par changer d'usage`AcceptAdministratorInvitation`. Toutes les politiques IAM qui contrôlent spécifiquement l'accès à cette fonction doivent continuer à être utilisées`AcceptInvitation`. Vous devez également compléter vos politiques `AcceptAdministratorInvitation` pour vous assurer que les autorisations appropriées sont en place une fois que la console commence à être utilisée`AcceptAdministratorInvitation`.
## Refuser une invitation
Vous pouvez refuser une invitation à devenir membre du Security Hub CSPM. Lorsque vous refusez une invitation dans la console Security Hub CSPM, votre compte est marqué comme **Désigné** dans la liste des comptes membres du compte administrateur. Le statut **Résigné** apparaît uniquement lorsque vous vous connectez à la console Security Hub CSPM à l'aide du compte administrateur. Toutefois, l'invitation reste inchangée dans la console du compte membre jusqu'à ce que vous vous connectiez au compte administrateur et que vous supprimiez l'invitation.
Pour refuser une invitation, vous devez vous connecter au compte membre qui a reçu l'invitation.
Choisissez votre méthode préférée et suivez les étapes pour refuser une invitation à devenir membre.
------
#### [ Security Hub CSPM console ]
**Pour refuser une invitation d'adhésion**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Paramètres**, puis **Comptes**.
1. Dans la section **Compte administrateur**, choisissez **Refuser l'invitation**.
------
#### [ Security Hub CSPM API ]
**Pour refuser une invitation d'adhésion**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html)API. Vous devez fournir l' Compte AWS ID du compte administrateur qui a émis l'invitation. Pour consulter les informations relatives à vos invitations, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)opération.
------
#### [ AWS CLI ]
**Pour refuser une invitation d'adhésion**
Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html). Vous devez fournir l' Compte AWS ID du compte administrateur qui a émis l'invitation. Pour afficher les informations relatives à vos invitations, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)commande.
```
aws securityhub decline-invitations --account-ids ""
```
**Exemple**
```
aws securityhub decline-invitations --account-ids "123456789012"
```
------
# Dissociation des comptes membres dans Security Hub CSPM
**Note**
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).
Un compte administrateur AWS Security Hub CSPM peut dissocier un compte membre pour ne plus recevoir ni consulter les résultats de ce compte. Vous devez dissocier un compte membre avant de pouvoir le supprimer.
Lorsque vous dissociez un compte membre, il reste dans votre liste de comptes membres avec le statut **Supprimé (Dissocié**). Votre compte est supprimé des informations du compte administrateur du compte membre.
Pour continuer à recevoir les résultats relatifs au compte, vous pouvez renvoyer l'invitation. Pour supprimer complètement le compte membre, vous pouvez le supprimer.
Choisissez votre méthode préférée et suivez les étapes pour dissocier un compte de membre invité manuellement du compte d'administrateur.
------
#### [ Security Hub CSPM console ]
**Pour dissocier un compte de membre invité manuellement**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur.
1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Configuration**.
1. Dans la section **Comptes**, sélectionnez les comptes que vous souhaitez dissocier.
1. Choisissez **Actions**, puis **Dissocier le compte**.
------
#### [ Security Hub CSPM API ]
**Pour dissocier un compte de membre invité manuellement**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API depuis le compte administrateur. Vous devez fournir les comptes Compte AWS IDs de membres que vous souhaitez dissocier. Pour afficher la liste des comptes des membres, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)opération.
------
#### [ AWS CLI ]
**Pour dissocier un compte de membre invité manuellement**
Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html)commande depuis le compte administrateur. Vous devez fournir les comptes Compte AWS IDs de membres que vous souhaitez dissocier. Pour afficher la liste des comptes des membres, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)commande.
```
aws securityhub disassociate-members --account-ids
```
**Exemple**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
# Supprimer des comptes de membres dans Security Hub CSPM
**Note**
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).
En tant que compte administrateur AWS Security Hub CSPM, vous pouvez supprimer les comptes de membres ajoutés sur invitation. Avant de pouvoir supprimer un compte activé, vous devez le dissocier.
Lorsque vous supprimez un compte membre, il est complètement supprimé de la liste. Pour rétablir l'adhésion au compte, vous devez l'ajouter et l'inviter à nouveau comme s'il s'agissait d'un tout nouveau compte de membre.
Vous ne pouvez pas supprimer les comptes qui appartiennent à une organisation et qui sont gérés à l'aide de l'intégration avec AWS Organizations.
Choisissez votre méthode préférée et suivez les étapes pour supprimer les comptes de membres invités manuellement.
------
#### [ Security Hub CSPM console ]
**Pour supprimer un compte de membre invité manuellement**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide du compte administrateur.
1. Dans le volet de navigation, choisissez **Paramètres**, puis **Configuration**.
1. Choisissez l'onglet **Comptes d'invitation**. Sélectionnez ensuite les comptes à supprimer.
1. Choisissez **Actions**, puis **Supprimer**. Cette option n'est disponible que si vous avez dissocié le compte. Vous devez dissocier un compte membre avant de le supprimer.
------
#### [ Security Hub CSPM API ]
**Pour supprimer un compte de membre invité manuellement**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html)API depuis le compte administrateur. Vous devez fournir les comptes Compte AWS IDs de membres que vous souhaitez supprimer. Pour récupérer la liste des comptes membres, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API.
------
#### [ AWS CLI ]
**Pour supprimer un compte de membre invité manuellement**
Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html)commande depuis le compte administrateur. Vous devez fournir les comptes Compte AWS IDs de membres que vous souhaitez supprimer. Pour récupérer la liste des comptes membres, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)commande.
```
aws securityhub delete-members --account-ids
```
**Exemple**
```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```
------
# Dissociation d'un compte administrateur Security Hub CSPM
**Note**
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).
Si votre compte a été ajouté en tant que compte membre du AWS Security Hub CSPM sur invitation, vous pouvez dissocier le compte membre du compte administrateur. Une fois que vous avez dissocié un compte membre, Security Hub CSPM n'envoie pas les résultats du compte au compte administrateur.
Les comptes membres gérés à l'aide de l'intégration avec ne AWS Organizations peuvent pas dissocier leurs comptes du compte administrateur. Seul l'administrateur délégué du Security Hub CSPM peut dissocier les comptes membres gérés avec Organizations.
Lorsque vous vous dissociez de votre compte administrateur, celui-ci reste dans la liste des membres du compte administrateur avec le statut **Désigné**. Cependant, le compte administrateur ne reçoit aucune information concernant votre compte.
Une fois que vous vous êtes dissocié du compte administrateur, l'invitation à devenir membre est toujours valable. Vous pourrez accepter à nouveau l'invitation à l'avenir.
------
#### [ Security Hub CSPM console ]
**Pour vous dissocier de votre compte administrateur**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Paramètres**, puis **Comptes**.
1. Dans la section **Compte administrateur**, désactivez **Accepter**, puis choisissez **Mettre à jour**.
------
#### [ Security Hub CSPM API ]
**Pour vous dissocier de votre compte administrateur**
Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html)API.
------
#### [ AWS CLI ]
**Pour vous dissocier de votre compte administrateur**
Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html).
```
aws securityhub disassociate-from-administrator-account
```
------
**Note**
La console Security Hub CSPM continue de fonctionner. `DisassociateFromMasterAccount` Il finira par changer d'usage`DisassociateFromAdministratorAccount`. Toutes les politiques IAM qui contrôlent spécifiquement l'accès à cette fonction doivent continuer à être utilisées`DisassociateFromMasterAccount`. Vous devez également compléter vos politiques `DisassociateFromAdministratorAccount` pour vous assurer que les autorisations appropriées sont en place une fois que la console commence à être utilisée`DisassociateFromAdministratorAccount`.
# Transition vers Organizations pour gérer les comptes dans Security Hub CSPM
Lorsque vous gérez des comptes manuellement dans AWS Security Hub CSPM, vous devez inviter des comptes de membres potentiels et configurer chaque compte de membre séparément dans chacun d'eux. Région AWS
En intégrant Security Hub CSPM AWS Organizations, vous pouvez éliminer le besoin d'envoyer des invitations et mieux contrôler la façon dont Security Hub CSPM est configuré et personnalisé au sein de votre organisation. C'est pourquoi nous vous recommandons d'utiliser les invitations Security Hub CSPM à la AWS Organizations place des invitations Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).
Il est possible d'utiliser une approche combinée dans laquelle vous utilisez l' AWS Organizations intégration, mais vous pouvez également inviter manuellement des comptes extérieurs à votre organisation. Cependant, nous vous recommandons d'utiliser exclusivement l'intégration Organizations. [La configuration centralisée](central-configuration-intro.md), une fonctionnalité qui vous aide à gérer Security Hub CSPM sur plusieurs comptes et régions, n'est disponible que lorsque vous intégrez des Organizations.
Cette section explique comment passer de la gestion manuelle des comptes basée sur les invitations à la gestion des comptes avec. AWS Organizations
## Intégration de Security Hub CSPM à AWS Organizations
Tout d'abord, vous devez intégrer Security Hub CSPM et. AWS Organizations
Vous pouvez intégrer ces services en suivant les étapes suivantes :
+ Créez une organisation dans AWS Organizations. Pour obtenir des instructions, voir [Création d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org) dans le *guide de AWS Organizations l'utilisateur*.
+ Dans le compte de gestion des Organizations, désignez un compte d'administrateur délégué Security Hub CSPM.
**Note**
Le compte de gestion de l'organisation *ne peut pas* être défini comme compte DA.
Pour obtenir des instructions complètes, consultez [Intégration de Security Hub CSPM à AWS Organizations](designate-orgs-admin-account.md).
En effectuant les étapes précédentes, vous accordez un [accès sécurisé à](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) Security Hub CSPM dans. AWS Organizations Cela active également Security Hub CSPM en cours Région AWS pour le compte administrateur délégué.
L'administrateur délégué peut gérer l'organisation dans Security Hub CSPM, principalement en ajoutant les comptes de l'organisation en tant que comptes membres du Security Hub CSPM. L'administrateur peut également accéder à certains paramètres, données et ressources du Security Hub CSPM pour ces comptes.
Lorsque vous passez à la gestion des comptes à l'aide d'Organizations, les comptes basés sur des invitations ne deviennent pas automatiquement membres du Security Hub CSPM. Seuls les comptes que vous ajoutez à votre nouvelle organisation peuvent devenir membres du Security Hub CSPM.
Après avoir activé l'intégration, vous pouvez gérer les comptes auprès des Organizations. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md). La gestion des comptes varie en fonction du type de configuration de votre organisation.
# Actions autorisées par les comptes administrateur et membre dans Security Hub CSPM
Les comptes administrateur et membre ont accès aux actions CSPM du AWS Security Hub indiquées dans les tableaux suivants. Dans les tableaux, les valeurs ont les significations suivantes :
+ **N'importe lequel :** le compte peut exécuter l'action pour n'importe quel compte membre sous le même administrateur.
+ **Actuel :** le compte ne peut effectuer l'action que pour lui-même (le compte auquel vous êtes actuellement connecté).
+ **Dash —** Indique que le compte ne peut pas effectuer l'action.
Comme indiqué dans les tableaux, les actions autorisées varient selon que vous les intégrez ou non AWS Organizations et selon le type de configuration utilisé par votre organisation. Pour plus d'informations sur la différence entre la configuration centrale et la configuration locale, consultez[Gérer des comptes avec AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).
Security Hub CSPM ne copie pas les résultats des comptes des membres dans le compte administrateur. Dans Security Hub CSPM, tous les résultats sont ingérés dans une région spécifique pour un compte spécifique. Dans chaque région, le compte administrateur peut consulter et gérer les résultats de ses comptes membres dans cette région.
Si vous définissez une région d'agrégation, le compte administrateur peut consulter et gérer les résultats des comptes des membres provenant des régions liées qui sont répliqués dans la région d'agrégation. Pour plus d'informations sur l'agrégation entre régions, voir Agrégation [entre régions.](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)
Les tableaux suivants indiquent les autorisations par défaut pour les comptes d'administrateur et de membre. Vous pouvez utiliser des politiques IAM personnalisées pour restreindre davantage l'accès aux fonctionnalités et fonctions du Security Hub CSPM. Pour obtenir des conseils et des exemples, consultez le billet de blog [Aligning IAM policies to user personas for AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/).
## Actions autorisées si vous intégrez à Organizations et utilisez une configuration centralisée
Les comptes administrateur et membre peuvent accéder aux actions CSPM de Security Hub comme suit si vous intégrez Organizations et utilisez une configuration centralisée.
| Action | Compte d'administrateur délégué Security Hub CSPM | Compte membre géré de manière centralisée | Compte de membre autogéré |
| --- | --- | --- | --- |
| Création et gestion des politiques de configuration CSPM de Security Hub | Pour les comptes gérés de manière autonome ou centralisée | – | – |
| Afficher les comptes de l'organisation | N’importe lequel | – | – |
| Dissocier le compte membre | N’importe lequel | – | – |
| Supprimer le compte du membre | Tout compte n'appartenant pas à une organisation | – | – |
| Désactiver Security Hub CSPM | Pour les comptes courants et les comptes gérés de manière centralisée | – | En cours (doit être dissocié du compte administrateur) |
| Afficher les résultats et retrouver l'historique | N’importe lequel | Current | Current |
| Mettre à jour les résultats | N’importe lequel | Current | Current |
| Afficher les résultats d'analyse | N’importe lequel | Current | Current |
| Afficher les détails du contrôle | N’importe lequel | Current | Current |
| Activer ou désactiver les résultats de contrôle consolidés | N’importe lequel | – | – |
| Activer et désactiver les normes | Pour les comptes courants et les comptes gérés de manière centralisée | – | Current |
| Activer et désactiver les contrôles | Pour les comptes courants et les comptes gérés de manière centralisée | – | Current |
| Activer et désactiver les intégrations | Current | Current | Current |
| Configuration de l'agrégation entre régions | N’importe lequel | – | – |
| Sélectionnez la région d'origine et les régions associées | N'importe laquelle (vous devez arrêter et redémarrer la configuration centrale pour changer de région d'origine) | – | – |
| Configurer des actions personnalisées | Current | Current | Current |
| Configuration des règles d'automatisation | N’importe lequel | – | – |
| Configurer des informations personnalisées | Current | Current | Current |
## Actions autorisées si vous intégrez des organisations et utilisez une configuration locale
Les comptes d'administrateur et de membre peuvent accéder aux actions CSPM de Security Hub comme suit si vous les intégrez à Organizations et utilisez une configuration locale.
| Action | Compte d'administrateur délégué Security Hub CSPM | Compte membre |
| --- | --- | --- |
| Création et gestion des politiques de configuration CSPM de Security Hub | – | – |
| Afficher les comptes de l'organisation | N’importe lequel | – |
| Dissocier le compte membre | N’importe lequel | – |
| Supprimer le compte du membre | – | – |
| Désactiver Security Hub CSPM | – | En cours (si le compte est dissocié de l'administrateur délégué) |
| Afficher les résultats et retrouver l'historique | N’importe lequel | Current |
| Mettre à jour les résultats | N’importe lequel | Current |
| Afficher les résultats d'analyse | N’importe lequel | Current |
| Afficher les détails du contrôle | N’importe lequel | Current |
| Activer ou désactiver les résultats de contrôle consolidés | N’importe lequel | – |
| Activer et désactiver les normes | Current | Current |
| Activez automatiquement le Security Hub CSPM et les normes par défaut dans les nouveaux comptes d'entreprise | Pour les comptes courants et les nouveaux comptes de l'organisation | – |
| Activer et désactiver les contrôles | Current | Current |
| Activer et désactiver les intégrations | Current | Current |
| Configuration de l'agrégation entre régions | N’importe lequel | – |
| Configurer des actions personnalisées | Current | Current |
| Configuration des règles d'automatisation | N’importe lequel | – |
| Configurer des informations personnalisées | Current | Current |
## Actions autorisées pour les comptes basés sur des invitations
Les comptes d'administrateur et de membre peuvent accéder aux actions CSPM de Security Hub comme suit si vous utilisez la méthode basée sur les invitations pour gérer manuellement les comptes au lieu de les intégrer. AWS Organizations
| Action | Compte administrateur Security Hub CSPM | Compte membre |
| --- | --- | --- |
| Création et gestion des politiques de configuration CSPM de Security Hub | – | – |
| Afficher les comptes de l'organisation | N’importe lequel | – |
| Dissocier le compte membre | N’importe lequel | Current |
| Supprimer le compte du membre | N’importe lequel | – |
| Désactiver Security Hub CSPM | En cours (si aucun compte de membre n'est activé) | En cours (si le compte est dissocié du compte administrateur) |
| Afficher les résultats et retrouver l'historique | N’importe lequel | Current |
| Mettre à jour les résultats | N’importe lequel | Current |
| Afficher les résultats d'analyse | N’importe lequel | Current |
| Afficher les détails du contrôle | N’importe lequel | Current |
| Activer ou désactiver les résultats de contrôle consolidés | N’importe lequel | – |
| Activer et désactiver les normes | Current | Current |
| Activez automatiquement le Security Hub CSPM et les normes par défaut dans les nouveaux comptes d'entreprise | – | – |
| Activer et désactiver les contrôles | Current | Current |
| Activer et désactiver les intégrations | Current | Current |
| Configuration de l'agrégation entre régions | N’importe lequel | – |
| Configurer des actions personnalisées | Current | Current |
| Configuration des règles d'automatisation | N’importe lequel | – |
| Configurer des informations personnalisées | Current | Current |
# Effet des actions du compte sur les données CSPM du Security Hub
Ces actions de compte ont les effets suivants sur les données CSPM du AWS Security Hub.
## Security Hub CSPM désactivé
Si vous utilisez la [configuration centralisée](central-configuration-intro.md), l'administrateur délégué (DA) peut créer des politiques de configuration Security Hub CSPM qui désactivent AWS Security Hub CSPM dans des comptes et des unités organisationnelles spécifiques (). OUs Dans ce cas, Security Hub CSPM est désactivé dans les comptes spécifiés, dans votre région d'origine et OUs dans toutes les régions associées. Si vous n'utilisez pas la configuration centralisée, vous devez désactiver Security Hub CSPM séparément dans chaque compte et région où vous l'avez activé. Vous ne pouvez pas utiliser la configuration centralisée si Security Hub CSPM est désactivé dans le compte DA.
Aucun résultat n'est généré ou mis à jour pour le compte administrateur si Security Hub CSPM est désactivé dans le compte administrateur. Les résultats archivés existants sont supprimés au bout de 30 jours. Les résultats actifs existants sont supprimés au bout de 90 jours.
Les intégrations avec les autres Services AWS sont supprimées.
Les normes et contrôles de sécurité activés sont désactivés.
Les autres données et paramètres du Security Hub CSPM, notamment les actions personnalisées, les informations et les abonnements à des produits tiers, sont conservés pendant 90 jours.
## Compte membre dissocié du compte administrateur
Lorsqu'un compte membre est dissocié du compte administrateur, le compte administrateur perd l'autorisation de consulter les résultats du compte membre. Cependant, Security Hub CSPM est toujours activé dans les deux comptes.
Si vous utilisez la configuration centralisée, le DA ne peut pas configurer le Security Hub CSPM pour un compte membre dissocié du compte DA.
Les paramètres personnalisés ou les intégrations définis pour le compte administrateur ne sont pas appliqués aux résultats de l'ancien compte membre. Par exemple, une fois les comptes dissociés, vous pouvez avoir une action personnalisée dans le compte administrateur utilisée comme modèle d'événement dans une EventBridge règle Amazon. Toutefois, cette action personnalisée ne peut pas être utilisée dans le compte du membre.
**Dans la liste des **comptes** du compte administrateur Security Hub CSPM, le statut Dissocié est attribué à un compte supprimé.**
## Le compte de membre est supprimé d'une organisation
Lorsqu'un compte membre est supprimé d'une organisation, le compte administrateur du Security Hub CSPM perd l'autorisation de consulter les résultats du compte membre. Cependant, Security Hub CSPM est toujours activé dans les deux comptes avec les mêmes paramètres qu'avant sa suppression.
Si vous utilisez la configuration centralisée, vous ne pouvez pas configurer le Security Hub CSPM pour un compte membre une fois celui-ci supprimé de l'organisation à laquelle appartient l'administrateur délégué. Toutefois, le compte conserve les paramètres qu'il avait avant sa suppression, sauf si vous les modifiez manuellement.
**Dans la liste des **comptes** du compte administrateur Security Hub CSPM, le statut d'un compte supprimé est Deleted.**
## Le compte est suspendu
Lorsqu'un compte Compte AWS est suspendu, le compte perd l'autorisation de consulter ses résultats dans Security Hub CSPM. Aucun résultat n'est généré ou mis à jour pour ce compte. Le compte administrateur d'un compte suspendu peut consulter les résultats existants concernant le compte.
Pour un compte d'organisation, le statut du compte membre peut également passer à **Compte suspendu**. Cela se produit si le compte est suspendu au moment où le compte administrateur tente de l'activer. Le compte administrateur d'un **compte suspendu** ne peut pas consulter les résultats relatifs à ce compte. Dans le cas contraire, le statut suspendu n'affecte pas le statut du compte du membre.
Si vous utilisez la configuration centralisée, l'association de politiques échoue si l'administrateur délégué essaie d'associer une politique de configuration à un compte suspendu.
Après 90 jours, le compte est soit résilié, soit réactivé. Lorsque le compte est réactivé, ses autorisations Security Hub CSPM sont restaurées. Si le statut du compte membre est **Compte suspendu**, le compte administrateur doit activer le compte manuellement.
## Le compte est fermé
Lorsqu'un Compte AWS est fermé, Security Hub CSPM répond à la fermeture comme suit.
Si le compte est un compte administrateur Security Hub CSPM, il est supprimé en tant que compte administrateur et tous les comptes membres sont supprimés. S'il s'agit d'un compte membre, il est dissocié et supprimé en tant que membre du compte administrateur du Security Hub CSPM.
Security Hub CSPM conserve les résultats archivés existants dans le compte pendant 30 jours. Pour une constatation de contrôle, le calcul de 30 jours est basé sur la valeur du `UpdatedAt` champ de la constatation. Pour un autre type de résultat, le calcul est basé sur la valeur du `ProcessedAt` champ `UpdatedAt` ou du résultat, quelle que soit la date la plus récente. À la fin de cette période de 30 jours, Security Hub CSPM supprime définitivement le résultat du compte.
Security Hub CSPM conserve les résultats actifs existants dans le compte pendant 90 jours. Pour une constatation de contrôle, le calcul de 90 jours est basé sur la valeur du `UpdatedAt` champ de la constatation. Pour un autre type de résultat, le calcul est basé sur la valeur du `ProcessedAt` champ `UpdatedAt` ou du résultat, quelle que soit la date la plus récente. À la fin de cette période de 90 jours, Security Hub CSPM supprime définitivement le résultat du compte.
Pour conserver à long terme les résultats existants, vous pouvez les exporter vers un compartiment S3. Vous pouvez le faire en utilisant une action personnalisée avec une EventBridge règle Amazon. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md).
**Important**
Pour les clients inscrits AWS GovCloud (US) Regions, sauvegardez puis supprimez les données de votre politique et les autres ressources de votre compte avant de fermer votre compte. Vous n'aurez pas accès aux ressources et aux données après la fermeture de votre compte.
Pour plus d'informations, voir [Fermer un Compte AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) dans le *guide Gestion de compte AWS de référence*.
# Comprendre l'agrégation entre régions dans Security Hub CSPM
**Note**
La *région d'agrégation* est désormais appelée *région d'origine*. Certaines opérations de l'API CSPM du Security Hub utilisent toujours l'ancien terme « région d'agrégation ».
En utilisant l'agrégation entre régions dans AWS Security Hub CSPM, vous pouvez agréger les résultats, trouver des mises à jour, des informations, contrôler les statuts de conformité et les scores de sécurité de plusieurs régions d'origine Régions AWS vers une seule. Vous pouvez ensuite gérer toutes ces données depuis votre région d'origine.
Supposons que vous définissiez USA Est (Virginie du Nord) comme région d'origine, et USA Ouest (Oregon) et USA Ouest (Californie du Nord) comme régions liées. Lorsque vous consultez la page des **résultats** dans l'est des États-Unis (Virginie du Nord), vous voyez les résultats des trois régions. Les mises à jour de ces résultats sont également prises en compte dans les trois régions.
**Note**
Dans AWS GovCloud (US), l'agrégation entre régions n'est prise en charge que pour les résultats, la recherche de mises à jour et les informations AWS GovCloud (US) croisées. Plus précisément, vous ne pouvez agréger les résultats, trouver des mises à jour et des informations qu'entre AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest). Dans les régions de Chine, l'agrégation entre régions n'est prise en charge que pour les résultats, les mises à jour et les informations sur les régions de Chine. Plus précisément, vous ne pouvez agréger les résultats, trouver des mises à jour et des informations qu'entre la Chine (Pékin) et la Chine (Ningxia).
Si un contrôle est activé dans une région liée mais désactivé dans la région d'origine, vous pouvez voir l'état de conformité du contrôle depuis la région d'origine, mais vous ne pouvez pas activer ou désactiver ce contrôle depuis la région d'origine. L'exception est si vous utilisez la [configuration centralisée](central-configuration-intro.md). Si vous utilisez la configuration centralisée, l'administrateur délégué du Security Hub CSPM peut configurer les contrôles dans la région d'origine et dans les régions associées à partir de la région d'origine.
Si vous avez défini une région d'origine, [les scores de sécurité](standards-security-score.md) tiennent compte des statuts de contrôle dans tous Régions liées. Pour consulter les scores de sécurité et les états de conformité entre régions, ajoutez les autorisations suivantes à votre rôle IAM qui utilise Security Hub CSPM :
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`
## Types de données agrégées
Lorsque l'agrégation entre régions est activée avec une ou plusieurs régions liées, Security Hub CSPM réplique les données suivantes des régions liées vers la région d'origine. Cela se produit dans tous les comptes pour lesquels l'agrégation entre régions est activée.
+ Résultats
+ Informations
+ Contrôlez les statuts de conformité
+ Scores de sécurité
Outre les nouvelles données de la liste précédente, Security Hub CSPM réplique également les mises à jour de ces données entre les régions liées et la région d'origine. Les mises à jour effectuées dans une région liée sont répliquées dans la région d'origine. Les mises à jour effectuées dans la région d'origine sont répliquées dans la région associée. En cas de conflit entre les mises à jour de la région d'origine et de la région associée, c'est la mise à jour la plus récente qui est utilisée.
![\[Lorsque l'agrégation entre régions est activée, Security Hub CSPM reproduit les résultats nouveaux et mis à jour entre les régions associées et la région d'origine.\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/diagram-finding-aggregation.png)
L'agrégation entre régions n'augmente pas le coût du Security Hub CSPM. Vous n'êtes pas débité lorsque Security Hub CSPM réplique de nouvelles données ou des mises à jour.
Dans la région d'origine, la page **Résumé** fournit une vue de vos résultats actifs dans les régions liées. Pour plus d'informations, voir [Affichage d'un résumé interrégional des résultats par gravité](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html). Les autres panneaux de la page de **résumé** qui analysent les résultats affichent également des informations provenant des régions liées.
Vos scores de sécurité dans la région d'origine sont calculés en comparant le nombre de contrôles passés au nombre de contrôles activés dans toutes les régions associées. En outre, si un contrôle est activé dans au moins une région liée, il est visible sur les pages de détails des **normes de sécurité** de la région d'origine. L'état de conformité des contrôles sur les pages détaillées des normes reflète les résultats obtenus dans les régions liées. Si un contrôle de sécurité associé à un contrôle échoue dans une ou plusieurs régions liées, le statut de conformité de ce contrôle s'affiche comme **Échec** sur les pages de détails des normes de la région d'origine. Le nombre de contrôles de sécurité inclut les résultats de toutes les régions liées.
Security Hub CSPM agrège uniquement les données des régions où Security Hub CSPM est activé sur un compte. Security Hub CSPM n'est pas automatiquement activé pour un compte en fonction de la configuration d'agrégation entre régions.
Il est possible d'activer l'agrégation entre régions sans qu'aucune région liée ne soit sélectionnée. Dans ce cas, aucune réplication de données n'a lieu.
## Agrégation pour les comptes d'administrateur et de membre
Les comptes autonomes, les comptes membres et les comptes administrateurs peuvent configurer l'agrégation entre régions. Si elle est configurée par un administrateur, la présence du compte administrateur est essentielle pour que l'agrégation entre régions fonctionne dans les comptes administrés. Si le compte administrateur est supprimé ou dissocié d'un compte membre, l'agrégation entre régions pour le compte membre cesse. Cela est vrai même si l'agrégation entre régions était activée sur le compte avant le début de la relation administrateur-membre.
Lorsqu'un compte administrateur active l'agrégation entre régions, Security Hub CSPM réplique les données générées par le compte administrateur dans toutes les régions associées à la région d'origine. En outre, Security Hub CSPM identifie les comptes membres associés à cet administrateur, et chaque compte de membre hérite des paramètres d'agrégation entre régions de l'administrateur. Security Hub CSPM reproduit les données générées par un compte membre dans toutes les régions associées à la région d'origine.
L'administrateur peut accéder aux résultats de sécurité de tous les comptes membres des régions administrées et les gérer. Toutefois, en tant qu'administrateur Security Hub CSPM, vous devez être connecté à la région d'origine pour consulter les données agrégées de tous les comptes membres et des régions associées.
En tant que membre du Security Hub CSPM, vous devez être connecté à la région d'origine pour consulter les données agrégées de votre compte provenant de toutes les régions associées. Les comptes membres ne sont pas autorisés à consulter les données des autres comptes membres.
Un compte administrateur peut inviter manuellement des comptes de membres ou servir d'administrateur délégué d'une organisation intégrée à AWS Organizations. Pour un [compte de membre invité manuellement](account-management-manual.md), l'administrateur doit inviter le compte depuis la région d'origine et toutes les régions associées pour que l'agrégation entre régions fonctionne. En outre, Security Hub CSPM doit être activé dans la région d'origine et dans toutes les régions associées pour permettre à l'administrateur de consulter les résultats du compte membre. Si vous n'utilisez pas la région d'origine à d'autres fins, vous pouvez désactiver les normes CSPM et les intégrations du Security Hub dans cette région pour éviter les frais.
Si vous envisagez d'utiliser l'agrégation entre régions et que vous possédez plusieurs comptes d'administrateur, nous vous recommandons de suivre les bonnes pratiques suivantes :
+ Chaque compte administrateur possède des comptes de membre différents.
+ Chaque compte administrateur possède les mêmes comptes de membre dans toutes les régions.
+ Chaque compte administrateur utilise une région d'origine différente.
**Note**
Pour comprendre l'impact de l'agrégation entre régions sur la configuration centrale, voir[Impact de la configuration centrale sur l'agrégation entre régions](aggregation-central-configuration.md).
# Impact de la configuration centrale sur l'agrégation entre régions
La configuration centrale est une fonctionnalité optionnelle de AWS Security Hub CSPM que vous pouvez utiliser si vous l'intégrez. AWS Organizations Si vous utilisez la configuration centralisée, le compte administrateur délégué peut configurer le service Security Hub CSPM, les normes et les contrôles pour les comptes et les unités organisationnelles (UO) de l'organisation. Pour configurer les comptes OUs, l'administrateur délégué crée les politiques de configuration CSPM du Security Hub. Les politiques de configuration peuvent être utilisées pour définir si Security Hub CSPM est activé ou désactivé, et quelles normes et contrôles sont activés. L'administrateur délégué associe les politiques de configuration à des comptes spécifiques ou à la racine (l'ensemble de l'organisation). OUs
L'administrateur délégué peut créer et gérer des politiques de configuration pour l'organisation uniquement à partir de la région d'origine. En outre, les politiques de configuration entrent en vigueur dans la région d'origine et dans toutes les régions associées. Vous ne pouvez pas créer une politique de configuration qui s'applique uniquement à certaines régions liées et pas à d'autres. Pour plus d'informations sur l'agrégation entre régions, voir Agrégation [entre régions.](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)
Pour utiliser la configuration centralisée, vous devez désigner une région d'origine. Vous pouvez éventuellement choisir une ou plusieurs régions comme régions liées. Vous pouvez également choisir de désigner une région d'origine sans aucune région liée.
La modification de vos paramètres d'agrégation entre régions peut avoir un impact sur vos politiques de configuration. Lorsque vous ajoutez une région liée, vos politiques de configuration prennent effet dans cette région. Si la région est une [région optionnelle](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html), elle doit être activée pour que vos politiques de configuration y prennent effet. À l'inverse, lorsque vous supprimez une région liée, les politiques de configuration ne s'appliquent plus dans cette région. Dans cette région, les comptes conservent les paramètres qu'ils avaient lorsque la région associée a été supprimée. Vous pouvez modifier ces paramètres, mais vous devez le faire séparément dans chaque compte et région.
Si vous supprimez ou modifiez la région d'origine, vos politiques de configuration et vos associations de politiques sont supprimées. Vous ne pouvez plus utiliser la configuration centralisée ni créer de politiques de configuration dans aucune région. Les comptes conservent les paramètres qu'ils avaient avant la modification ou la suppression de la région d'origine. Vous pouvez modifier ces paramètres à tout moment, mais comme vous n'utilisez plus la configuration centralisée, les paramètres doivent être modifiés séparément dans chaque compte et région. Vous pouvez utiliser la configuration centralisée et créer à nouveau des politiques de configuration si vous désignez une nouvelle région d'origine.
Pour plus d'informations sur la configuration centrale, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
# Activation de l'agrégation entre régions
**Note**
La *région d'agrégation* est désormais appelée *région d'origine*. Certaines opérations de l'API CSPM du Security Hub utilisent toujours l'ancien terme « région d'agrégation ».
Vous devez activer l'agrégation entre régions à partir de la région Région AWS que vous souhaitez désigner comme région d'origine.
Pour activer l'agrégation entre régions, vous devez créer une ressource Security Hub CSPM appelée agrégateur de recherche. La ressource d'agrégation de recherche indique votre région d'origine et les régions associées (le cas échéant).
Vous ne pouvez pas utiliser une Région AWS région désactivée par défaut comme région d'origine. Pour obtenir la liste des régions désactivées par défaut, consultez la section [Activation d'une région](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) dans le *Références générales AWS*.
Lorsque vous activez l'agrégation entre régions, vous choisissez de spécifier une ou plusieurs régions liées si vous le souhaitez. Vous pouvez également choisir de lier automatiquement les nouvelles régions lorsque Security Hub CSPM commence à les prendre en charge et que vous les acceptez.
------
#### [ Security Hub CSPM console ]
**Pour activer l'agrégation entre régions**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. À l'aide du Région AWS sélecteur, connectez-vous à la région que vous souhaitez utiliser comme région d'agrégation.
1. **Dans le menu de navigation du Security Hub CSPM, sélectionnez **Paramètres**, puis Régions.**
1. Pour Rechercher **une agrégation**, choisissez **Configurer une agrégation de recherche**.
Par défaut, la région d'origine est définie sur **Aucune région d'agrégation**.
1. Sous **Région d'agrégation**, sélectionnez l'option permettant de désigner la région actuelle comme région d'origine.
1. Facultativement, pour **les régions liées**, sélectionnez les régions à partir desquelles agréger les données.
1. Pour agréger automatiquement les données des nouvelles régions dans la partition lorsque Security Hub CSPM les prend en charge et que vous les acceptez, sélectionnez Lier les **futures** régions.
1. Choisissez **Enregistrer**.
------
#### [ Security Hub CSPM API ]
Dans la région que vous souhaitez utiliser comme région d'origine, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html)API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [create-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-finding-aggregator.html)commande.
Pour `RegionLinkingMode`, choisissez l'une des options suivantes :
+ `ALL_REGIONS`— Security Hub CSPM agrège les données de toutes les régions. Security Hub CSPM agrège également les données des nouvelles régions au fur et à mesure qu'elles sont prises en charge et que vous les acceptez.
+ `ALL_REGIONS_EXCEPT_SPECIFIED`— Security Hub CSPM agrège les données de toutes les régions, à l'exception des régions que vous souhaitez exclure. Security Hub CSPM agrège également les données des nouvelles régions au fur et à mesure qu'elles sont prises en charge et que vous les acceptez. `Regions`À utiliser pour fournir la liste des régions à exclure de l'agrégation.
+ `SPECIFIED_REGIONS`— Security Hub CSPM agrège les données d'une liste sélectionnée de régions. Security Hub CSPM n'agrège pas automatiquement les données des nouvelles régions. `Regions`À utiliser pour fournir la liste des régions à partir desquelles effectuer l'agrégation.
+ `NO_REGIONS`— Security Hub CSPM n'agrège pas les données car vous ne sélectionnez aucune région liée.
L'exemple suivant configure l'agrégation entre régions. La région d'origine est l'est des États-Unis (Virginie du Nord). Les régions associées sont l'ouest des États-Unis (Californie du Nord) et l'ouest des États-Unis (Oregon). Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub create-finding-aggregator --region us-east-1 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```
------
# Révision des paramètres d'agrégation entre régions
**Note**
La *région d'agrégation* est désormais appelée *région d'origine*. Certaines opérations de l'API CSPM du Security Hub utilisent toujours l'ancien terme « région d'agrégation ».
Vous pouvez consulter la configuration actuelle d'agrégation entre régions dans AWS Security Hub CSPM depuis n'importe quel endroit. Région AWS La configuration inclut la région d'origine, les régions associées (le cas échéant) et indique s'il convient de lier automatiquement les nouvelles régions dans la mesure où Security Hub CSPM les prend en charge.
Les comptes membres peuvent consulter les paramètres d'agrégation entre régions configurés par le compte administrateur.
Choisissez votre méthode préférée et suivez les étapes pour afficher vos paramètres d'agrégation entre régions actuels.
------
#### [ Security Hub CSPM console ]
**Pour afficher les paramètres d'agrégation entre régions (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Paramètres**, puis l'onglet **Régions**.
Si l'agrégation entre régions n'est pas activée, l'onglet **Régions** affiche l'option permettant d'activer l'agrégation entre régions. Seuls les comptes d'administrateur et les comptes autonomes peuvent activer l'agrégation entre régions.
Si l'agrégation entre régions est activée, l'onglet **Régions** affiche les informations suivantes :
+ La Région d’accueil
+ S'il faut agréger automatiquement les résultats, les informations, les statuts de contrôle et les scores de sécurité des nouvelles régions prises en charge par Security Hub CSPM et auxquelles vous avez souscrit
+ La liste des régions liées (si certaines sont sélectionnées)
------
#### [ Security Hub CSPM API ]
**Pour consulter les paramètres d'agrégation entre régions (API Security Hub CSPM)**
Utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [get-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-aggregator.html)commande.
Lorsque vous faites la demande, fournissez l'ARN de l'agrégateur de recherche. Pour obtenir l'ARN de l'agrégateur de recherche, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)opération ou la [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)commande.
L'exemple suivant montre les paramètres d'agrégation entre régions pour l'ARN d'agrégateur de recherche spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne inversée (\$1) pour améliorer la lisibilité
```
$aws securityhub get-finding-aggregator --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
```
------
# Mise à jour des paramètres d'agrégation entre régions
**Note**
La *région d'agrégation* est désormais appelée *région d'origine*. Certaines opérations de l'API CSPM du Security Hub utilisent toujours l'ancien terme « région d'agrégation ».
Vous pouvez mettre à jour vos paramètres d'agrégation entre régions actuels dans AWS Security Hub CSPM en modifiant les régions liées ou la région d'origine actuelle. Vous pouvez également choisir d'agréger automatiquement les données provenant de nouvelles versions dans Régions AWS lesquelles Security Hub CSPM est pris en charge.
Les modifications apportées à l'agrégation entre régions ne sont pas mises en œuvre pour une région optionnelle tant que vous n'activez pas la région dans votre. Compte AWS Les régions AWS introduites le 20 mars 2019 ou après cette date sont des régions optionnelles.
Lorsque vous arrêtez d'agréger les données d'une région liée, AWS Security Hub CSPM ne supprime aucune donnée agrégée existante de cette région accessible dans la région d'origine.
Vous ne pouvez pas utiliser les procédures de mise à jour décrites dans cette section pour modifier la région d'origine. Pour modifier la région d'origine, vous devez effectuer les opérations suivantes :
1. Arrêtez l'agrégation entre régions. Pour obtenir des instructions, veuillez consulter [Arrêt de l'agrégation entre régions](finding-aggregation-stop.md).
1. Choisissez la région que vous souhaitez utiliser comme nouvelle région d'origine.
1. Activez l'agrégation entre régions. Pour obtenir des instructions, veuillez consulter [Activation de l'agrégation entre régions](finding-aggregation-enable.md).
Vous devez mettre à jour la configuration d'agrégation entre régions à partir de la région d'origine actuelle.
------
#### [ Security Hub CSPM console ]
**Pour modifier les régions liées**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à la région d'agrégation actuelle.
1. **Dans le menu de navigation du Security Hub CSPM, sélectionnez **Paramètres**, puis Régions.**
1. Pour **Rechercher une agrégation**, choisissez **Modifier**.
1. Pour les **régions liées**, mettez à jour les régions liées sélectionnées.
1. Si nécessaire, modifiez si l'option **Lier les futures régions** est sélectionnée. Ce paramètre détermine si Security Hub CSPM associe automatiquement les nouvelles régions au fur et à mesure qu'il les prend en charge et que vous les acceptez.
1. Choisissez **Enregistrer**.
------
#### [ Security Hub CSPM API ]
Utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html)opération. Si vous utilisez le AWS CLI, exécutez la [update-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-finding-aggregator.html)commande. Pour identifier l'agrégateur de recherche, vous devez fournir l'ARN de l'agrégateur de recherche. Pour obtenir l'ARN de l'agrégateur de recherche, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)opération ou la [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)commande.
Si le mode de liaison est `ALL_REGIONS_EXCEPT_SPECIFIED` ou`SPECIFIED_REGIONS`, vous pouvez modifier la liste des régions exclues ou incluses. Si vous souhaitez passer au mode de liaison des régions`NO_REGIONS`, vous ne devez pas fournir de liste de régions.
Lorsque vous modifiez la liste des régions exclues ou incluses, vous devez fournir la liste complète avec les mises à jour. Supposons, par exemple, que vous agrégez actuellement les résultats de l'est des États-Unis (Ohio) et que vous souhaitez également agréger les résultats de l'ouest des États-Unis (Oregon). Vous devez fournir une `Regions` liste contenant à la fois l'est des États-Unis (Ohio) et l'ouest des États-Unis (Oregon).
L'exemple suivant met à jour l'agrégation entre régions pour les régions sélectionnées. La commande est exécutée depuis la région d'origine actuelle, à savoir l'est des États-Unis (Virginie du Nord). Les régions associées sont l'ouest des États-Unis (Californie du Nord) et l'ouest des États-Unis (Oregon). Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```
------
# Arrêt de l'agrégation entre régions
**Note**
La *région d'agrégation* est désormais appelée *région d'origine*. Certaines opérations de l'API CSPM du Security Hub utilisent toujours l'ancien terme « région d'agrégation ».
Si vous ne souhaitez pas que AWS Security Hub CSPM agrège les données, vous pouvez supprimer votre agrégateur de recherches. Vous pouvez également conserver votre agrégateur de recherches mais ne pas le lier Régions AWS à la région d'origine en mettant à jour l'agrégateur existant en mode de `NO_REGIONS` liaison.
Pour modifier votre région d'origine, vous devez supprimer votre agrégateur de recherche actuel et en créer un nouveau.
Lorsque vous supprimez votre agrégateur de recherches, Security Hub CSPM arrête d'agréger les données. Cela ne supprime aucune donnée agrégée existante de la région d'origine.
## Suppression de l'agrégateur de recherches (console)
Vous ne pouvez supprimer votre agrégateur de résultats que dans la région d'origine actuelle.
Dans les régions autres que la région d'origine, le panneau d'**agrégation de recherche** de la console Security Hub CSPM affiche un message indiquant que vous devez modifier la configuration dans la région d'origine. Choisissez ce message pour afficher un lien permettant de passer à la région d'origine.
------
#### [ Security Hub CSPM console ]
**Pour arrêter l'agrégation entre régions (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Assurez-vous d'être connecté à votre région d'origine actuelle.
1. **Dans le menu de navigation du Security Hub CSPM, sélectionnez **Paramètres**, puis Régions.**
1. Sous **Recherche d'une agrégation**, sélectionnez **Modifier**.
1. Sous **Région d'agrégation**, sélectionnez **Aucune région d'agrégation**.
1. Choisissez **Enregistrer**.
1. Dans la boîte de dialogue de confirmation, dans le champ de confirmation, tapez**Confirm**.
1. Choisissez **Confirmer**.
------
#### [ Security Hub CSPM API ]
Utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html)commande.
Pour identifier l'agrégateur de recherche à supprimer, fournissez l'ARN de l'agrégateur de recherche. Pour obtenir l'ARN de l'agrégateur de recherche, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)opération ou la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)commande.
L'exemple suivant supprime l'agrégateur de résultats. La commande est exécutée depuis la région d'origine actuelle, à savoir l'est des États-Unis (Virginie du Nord). Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$aws securityhub delete-finding-aggregator arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region us-east-1
```
------
# Comprendre les normes de sécurité dans Security Hub CSPM
Dans AWS Security Hub CSPM, une *norme de sécurité* est un ensemble d'exigences basées sur des cadres réglementaires, les meilleures pratiques du secteur ou les politiques de l'entreprise. Pour plus de détails sur les normes actuellement prises en charge par Security Hub CSPM, y compris les contrôles de sécurité qui s'appliquent à chacune d'entre elles, consultez le. [Référence aux normes pour Security Hub CSPM](standards-reference.md)
Lorsque vous activez une norme, Security Hub CSPM active automatiquement tous les contrôles qui s'appliquent à la norme. Security Hub CSPM effectue ensuite des contrôles de sécurité sur les contrôles, ce qui génère les résultats du Security Hub CSPM. Vous pouvez désactiver puis réactiver les commandes individuelles si nécessaire. Vous pouvez également désactiver complètement une norme. Si vous désactivez une norme, Security Hub CSPM arrête d'exécuter des contrôles de sécurité sur les contrôles qui s'appliquent à la norme. Les résultats ne sont plus générés pour les contrôles.
Outre les résultats, Security Hub CSPM génère un score de sécurité pour chaque norme que vous activez. Le score est basé sur l'état des contrôles qui s'appliquent à la norme. Si vous définissez une région d'agrégation, le score de sécurité d'une norme reflète l'état des contrôles dans toutes les régions liées. Si vous êtes l'administrateur Security Hub CSPM d'une organisation, le score reflète l'état des contrôles pour tous les comptes de votre organisation. Pour de plus amples informations, veuillez consulter [Calcul des scores de sécurité](standards-security-score.md).
Pour consulter et gérer les normes, vous pouvez utiliser la console Security Hub CSPM ou l'API Security Hub CSPM. Sur la console, la page **Normes de sécurité** affiche toutes les normes de sécurité actuellement prises en charge par Security Hub CSPM. Cela inclut une description de chaque norme et l'état actuel de la norme. Si vous activez une norme, vous pouvez également utiliser cette page pour accéder à des informations supplémentaires sur la norme. Par exemple, vous pouvez consulter :
+ Le score de sécurité actuel pour la norme.
+ Statistiques agrégées pour les contrôles qui s'appliquent à la norme.
+ Liste des contrôles qui s'appliquent à la norme et sont actuellement activés, y compris le statut de conformité de chacun d'entre eux.
+ Liste des contrôles qui s'appliquent à la norme mais qui sont actuellement désactivés.
Pour une analyse plus approfondie, vous pouvez filtrer et trier les données, puis passer en revue les détails des contrôles individuels qui s'appliquent à la norme.
Vous pouvez activer les normes individuellement pour un seul compte et Région AWS. Toutefois, pour gagner du temps et réduire la dérive de configuration dans les environnements multicomptes et multirégionaux, nous recommandons d'utiliser une [configuration centralisée](central-configuration-intro.md) pour activer et gérer les normes. Grâce à la configuration centralisée, l'administrateur délégué du Security Hub CSPM peut créer des politiques qui spécifient comment configurer une norme pour plusieurs comptes et régions.
**Topics**
+ [Référence aux normes](standards-reference.md)
+ [Activation d'une norme](enable-standards.md)
+ [Révision des détails d'une norme](securityhub-standards-view-controls.md)
+ [Désactiver les normes activées automatiquement](securityhub-auto-enabled-standards.md)
+ [Désactiver une norme](disable-standards.md)
# Référence aux normes pour Security Hub CSPM
Dans AWS Security Hub CSPM, une *norme de sécurité* est un ensemble d'exigences basées sur des cadres réglementaires, les meilleures pratiques du secteur ou les politiques de l'entreprise. Security Hub CSPM associe ces exigences aux contrôles et effectue des contrôles de sécurité sur les contrôles pour évaluer si les exigences d'une norme sont respectées. Chaque norme inclut plusieurs commandes.
Security Hub CSPM prend actuellement en charge les normes suivantes :
+ **AWS Bonnes pratiques fondamentales en matière de sécurité** — Élaborée par AWS des professionnels du secteur, cette norme est une compilation des meilleures pratiques de sécurité destinées aux organisations, quels que soient leur secteur ou leur taille. Il fournit un ensemble de contrôles qui détectent les cas où vous Comptes AWS et vos ressources dérogerez aux meilleures pratiques de sécurité. Il fournit également des conseils prescriptifs sur la manière d'améliorer et de maintenir votre posture de sécurité.
+ **AWS Balisage des ressources** — Développée par Security Hub CSPM, cette norme peut vous aider à déterminer si vos AWS ressources comportent des balises. Une *balise* est une paire clé-valeur qui fait office de métadonnées pour une AWS ressource. Les balises peuvent vous aider à identifier, à classer, à gérer et à rechercher AWS des ressources. Par exemple, vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire ou environnement.
+ **CIS AWS Foundations Benchmark** — Développée par le Center for Internet Security (CIS), cette norme fournit des directives de configuration sécurisées pour AWS. Il définit un ensemble de directives de configuration de sécurité et de meilleures pratiques pour un sous-ensemble de Services AWS ressources, en mettant l'accent sur les paramètres fondamentaux, testables et indépendants de l'architecture. Les directives incluent des procédures claires de step-by-step mise en œuvre et d'évaluation.
+ **NIST SP 800-53 Revision 5** — Cette norme est conforme aux exigences du National Institute of Standards and Technology (NIST) en matière de protection de la confidentialité, de l'intégrité et de la disponibilité des systèmes d'information et des ressources critiques. Le cadre associé s'applique généralement aux agences fédérales américaines ou aux organisations qui travaillent avec des agences fédérales ou des systèmes d'information américains. Cependant, les organisations privées peuvent également utiliser les exigences comme cadre directeur.
+ **NIST SP 800-171 Revision 2** — Cette norme est conforme aux recommandations de sécurité et aux exigences du NIST pour protéger la confidentialité des informations contrôlées non classifiées (CUI) dans les systèmes et les organisations qui ne font pas partie du gouvernement fédéral américain. *Les CUI* sont des informations qui ne répondent pas aux critères gouvernementaux de classification, mais qui sont considérées comme sensibles et qui sont créées ou détenues par le gouvernement fédéral américain ou par d'autres entités pour le compte du gouvernement fédéral américain.
+ **PCI DSS** — Cette norme s'aligne sur le cadre de conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) défini par le PCI Security Standards Council (SSC). Le cadre fournit un ensemble de règles et de directives pour traiter en toute sécurité les informations relatives aux cartes de crédit et de débit. Le cadre s'applique généralement aux organisations qui stockent, traitent ou transmettent les données des titulaires de cartes.
+ **Norme gérée par les services, AWS Control Tower** — Cette norme vous aide à configurer les contrôles de détection fournis par Security Hub CSPM à partir de. AWS Control Tower AWS Control Tower propose un moyen simple de configurer et de gérer un environnement AWS multi-comptes, en suivant les meilleures pratiques prescriptives.
Les normes et contrôles CSPM du Security Hub ne garantissent pas la conformité aux cadres réglementaires ou aux audits. Ils fournissent plutôt un moyen d'évaluer et de surveiller votre état Comptes AWS et celui de vos ressources. Nous vous recommandons d'activer chaque norme adaptée aux besoins de votre entreprise, à votre secteur d'activité ou à votre cas d'utilisation.
Les contrôles individuels peuvent s'appliquer à plusieurs normes. Si vous activez plusieurs normes, nous vous recommandons d'activer également les résultats de contrôle consolidés. Dans ce cas, Security Hub CSPM génère un résultat unique pour chaque contrôle, même si le contrôle s'applique à plusieurs normes. Si vous n'activez pas les résultats de contrôle consolidés, Security Hub CSPM génère un résultat distinct pour chaque norme activée à laquelle s'applique un contrôle. Par exemple, si vous activez deux normes et qu'un contrôle s'applique aux deux, vous recevez deux résultats distincts pour le contrôle, un pour chaque norme. Si vous activez les résultats de contrôle consolidés, vous ne recevez qu'un seul résultat pour le contrôle. Pour de plus amples informations, veuillez consulter [Conclusions de contrôle consolidées](controls-findings-create-update.md#consolidated-control-findings).
**Topics**
+ [AWS Bonnes pratiques de sécurité fondamentales](fsbp-standard.md)
+ [AWS Marquage des ressources](standards-tagging.md)
+ [Indice de référence AWS des fondations du CIS](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Révision 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Révision 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Normes relatives à la gestion des services](service-managed-standards.md)
# AWS Norme relative aux meilleures pratiques de sécurité fondamentales dans Security Hub CSPM
Développée par AWS des professionnels du secteur, la norme AWS Foundational Security Best Practices (FSBP) est une compilation des meilleures pratiques de sécurité destinées aux entreprises, quels que soient leur secteur ou leur taille. Il fournit un ensemble de contrôles qui détectent quand Comptes AWS et quand les ressources s'écartent des meilleures pratiques de sécurité. Il fournit également des conseils prescriptifs sur la manière d'améliorer et de maintenir le niveau de sécurité de votre organisation.
Dans AWS Security Hub CSPM, la norme des meilleures pratiques de sécurité AWS fondamentales inclut des contrôles qui évaluent en permanence votre charge de travail Comptes AWS et vous aident à identifier les domaines qui s'écartent des meilleures pratiques en matière de sécurité. Les contrôles incluent les meilleures pratiques de sécurité pour les ressources provenant de plusieurs sources Services AWS. Chaque contrôle se voit attribuer une catégorie qui reflète la fonction de sécurité à laquelle le contrôle s'applique. Pour obtenir la liste des catégories et des informations supplémentaires, consultez[Catégories de contrôle](control-categories.md).
## Contrôles applicables à la norme
La liste suivante indique quels contrôles AWS Security Hub CSPM s'appliquent à la norme AWS Foundational Security Best Practices (v1.0.0). Pour consulter les détails d'un contrôle, choisissez-le.
[[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
[[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
[[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
[[APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés](apigateway-controls.md#apigateway-1)
[[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
[[APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway](apigateway-controls.md#apigateway-3)
[[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF](apigateway-controls.md#apigateway-4)
[[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5)
[[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
[[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
[[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10)
[[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
[[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
[[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
[[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
[[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4)
[[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1)
[[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
[[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
[[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques](autoscaling-controls.md#autoscaling-5)
[[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
[[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
[[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
[[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
[[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
[[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
[[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
[[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
[[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
[[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
[[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
[[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
[[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
[[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
[[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
[[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
[[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
[[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
[[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
[[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)
[[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
[[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
[[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
[[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7)
[[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
[[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
[[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
[[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
[[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
[[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)
[[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
[[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
[[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1)
[[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1)
[[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
[[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
[[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
[[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
[[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
[[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
[[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
[[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
[[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
[[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
[[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
[[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
[[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
[[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
[[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande](dynamodb-controls.md#dynamodb-1)
[[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time](dynamodb-controls.md#dynamodb-2)
[[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
[[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6)
[[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
[[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement](ec2-controls.md#ec2-1)
[[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)
[[EC2.3] Les volumes Amazon EBS attachés doivent être chiffrés au repos](ec2-controls.md#ec2-3)
[[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
[[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
[[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7)
[[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8)
[[EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse publique IPv4](ec2-controls.md#ec2-9)
[[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2](ec2-controls.md#ec2-10)
[[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques](ec2-controls.md#ec2-15)
[[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées](ec2-controls.md#ec2-16)
[[EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENIs](ec2-controls.md#ec2-17)
[[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés](ec2-controls.md#ec2-18)
[[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19)
[[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20)
[[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
[[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
[[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
[[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
[[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
[[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
[[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
[[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
[[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
[[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
[[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
[[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
[[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172)
[[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
[[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
[[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
[[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182)
[[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
[[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
[[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
[[ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés](ecs-controls.md#ecs-1)
[[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS](ecs-controls.md#ecs-2)
[[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
[[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
[[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
[[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
[[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
[[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
[[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
[[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16)
[[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18)
[[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19)
[[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20)
[[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21)
[[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
[[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
[[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
[[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
[[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
[[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7)
[[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)
[[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public](eks-controls.md#eks-1)
[[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
[[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
[[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
[[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
[[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
[[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
[[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
[[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
[[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
[[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
[[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
[[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
[[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
[[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS](elb-controls.md#elb-1)
[[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
[[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3)
[[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides](elb-controls.md#elb-4)
[[ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée](elb-controls.md#elb-5)
[[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau](elb-controls.md#elb-6)
[[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-7)
[[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8)
[[ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-9)
[[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
[[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
[[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
[[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
[[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
[[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
[[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21)
[[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22)
[[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
[[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
[[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
[[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
[[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch](es-controls.md#es-1)
[[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2)
[[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3)
[[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
[[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch](es-controls.md#es-5)
[[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données](es-controls.md#es-6)
[[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés](es-controls.md#es-7)
[[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8)
[[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
[[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
[[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
[[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3)
[[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4)
[[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
[[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3)
[[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
[[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
[[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5)
[[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
[[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
[[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
[[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
[[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
[[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
[[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
[[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
[[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
[[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
[[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
[[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
[[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
[[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
[[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
[[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
[[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
[[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
[[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
[[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
[[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
[[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3)
[[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
[[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
[[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance](kms-controls.md#kms-3)
[[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5)
[[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1)
[[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2)
[[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
[[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
[[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
[[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
[[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures](mq-controls.md#mq-3)
[[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
[[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
[[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
[[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
[[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
[[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
[[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
[[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
[[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
[[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
[[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
[[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
[[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
[[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
[[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
[[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
[[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
[[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
[[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
[[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
[Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
[Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
[[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
[[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
[[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
[Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
[Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
[[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
[Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
[[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
[[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
[[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1)
[[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)
[[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3)
[[RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos](rds-controls.md#rds-4)
[[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité](rds-controls.md#rds-5)
[[RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS](rds-controls.md#rds-6)
[[RDS.7] La protection contre la suppression des clusters RDS doit être activée](rds-controls.md#rds-7)
[[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée](rds-controls.md#rds-8)
[[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-9)
[[RDS.10] L'authentification IAM doit être configurée pour les instances RDS](rds-controls.md#rds-10)
[[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS](rds-controls.md#rds-11)
[[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS](rds-controls.md#rds-12)
[[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13)
[[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
[[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15)
[[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16)
[[RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés](rds-controls.md#rds-17)
[[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster](rds-controls.md#rds-19)
[[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20)
[[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données](rds-controls.md#rds-21)
[[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données](rds-controls.md#rds-22)
[[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données](rds-controls.md#rds-23)
[[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
[[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
[[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
[[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
[[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
[[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36)
[[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
[[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40)
[[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41)
[[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
[[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
[[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
[[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
[[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46)
[[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
[[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48)
[[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50)
[[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1)
[[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2)
[[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3)
[[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4)
[[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6)
[[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7)
[[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
[[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
[[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
[[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
[[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
[[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
[[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
[[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
[[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
[[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)
[[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture](s3-controls.md#s3-2)
[[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture](s3-controls.md#s3-3)
[[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
[[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6)
[[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)
[[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9)
[[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
[[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
[[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)
[[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
[[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
[[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
[[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
[[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
[[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
[[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
[[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
[[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
[[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
[[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
[[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
[[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
[[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
[[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
[[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée](secretsmanager-controls.md#secretsmanager-1)
[[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés](secretsmanager-controls.md#secretsmanager-2)
[[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager](secretsmanager-controls.md#secretsmanager-3)
[[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié](secretsmanager-controls.md#secretsmanager-4)
[[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
[[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
[[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4)
[[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
[[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
[[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1)
[[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
[[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)
[[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
[[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
[[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
[[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
[[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
[[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
[[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
[[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
[[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
[[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
[[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
[[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
[[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
[[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
[Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
[[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
[[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
# AWS Norme de balisage des ressources dans Security Hub CSPM
La norme AWS Resource Tagging, développée par AWS Security Hub CSPM, vous aide à déterminer si des balises sont manquantes dans vos AWS ressources. Les *balises* sont des paires clé-valeur qui servent de métadonnées pour organiser AWS les ressources. Pour la plupart des AWS ressources, vous avez la possibilité d'ajouter des balises à une ressource lors de sa création ou après sa création. Les exemples de ressources incluent les CloudFront distributions Amazon, les instances Amazon Elastic Compute Cloud (Amazon EC2) et les secrets in. AWS Secrets Manager Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer les AWS ressources.
Chaque balise se compose de deux parties :
+ Une clé de balise, par exemple `CostCenter``Environment`, ou. `Project` Les touches de tag distinguent les majuscules et minuscules.
+ Une valeur de balise, par exemple, `111122223333` ou. `Production` Les valeurs de balise sont sensibles à la casse, tout comme les clés de balise.
Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Pour plus d'informations sur l'ajout de balises aux AWS ressources, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
Pour chaque contrôle qui s'applique à la norme AWS Resource Tagging dans Security Hub CSPM, vous pouvez éventuellement utiliser le paramètre pris en charge pour spécifier les clés de balise que vous souhaitez que le contrôle vérifie. Si vous ne spécifiez aucune clé de balise, le contrôle vérifie uniquement l'existence d'au moins une clé de balise et échoue si une ressource n'en possède aucune.
Avant d'activer la norme de balisage AWS des ressources, il est important d'activer et de configurer l'enregistrement des ressources dans AWS Config. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme. Pour plus d'informations, y compris une liste des types de ressources à enregistrer, consultez[ AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md).
Après avoir activé la norme de balisage AWS des ressources, vous commencez à recevoir les résultats des contrôles qui s'appliquent à la norme. Notez que Security Hub CSPM peut mettre jusqu'à 18 heures à générer des résultats pour les contrôles qui utilisent la même règle AWS Config liée au service que les contrôles qui s'appliquent à d'autres normes activées. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
La norme de balisage AWS des ressources utilise le nom de ressource Amazon (ARN) suivant :`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`, où se *region* trouve le code de région correspondant à la ressource applicable Région AWS. Vous pouvez également utiliser le [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)fonctionnement de l'API Security Hub CSPM pour récupérer l'ARN d'une norme actuellement activée.
**Note**
La [norme de balisage des AWS ressources](#standards-tagging) n'est pas disponible dans les régions Asie-Pacifique (Nouvelle Zélande) et Asie-Pacifique (Taipei).
## Contrôles applicables à la norme
La liste suivante indique quels contrôles AWS Security Hub CSPM s'appliquent à la norme AWS Resource Tagging (v1.0.0). Pour consulter les détails d'un contrôle, choisissez-le.
+ [[ACM.3] Les certificats ACM doivent être balisés](acm-controls.md#acm-3)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4)
+ [[Athena.2] Les catalogues de données Athena doivent être balisés](athena-controls.md#athena-2)
+ [[Athena.3] Les groupes de travail Athena doivent être balisés](athena-controls.md#athena-3)
+ [[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2)
+ [Les AWS Backup coffres-forts [Backup.3] doivent être balisés](backup-controls.md#backup-3)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Backup.5] les plans de AWS Backup sauvegarde doivent être balisés](backup-controls.md#backup-5)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.2] les CloudFormation piles doivent être étiquetées](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] les CloudTrail sentiers doivent être balisés](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DynamoDB.5] Les tables DynamoDB doivent être balisées](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Les pièces jointes de la passerelle de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-33)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.35] Les interfaces réseau EC2 doivent être étiquetées](ec2-controls.md#ec2-35)
+ [[EC2.36] Les passerelles client EC2 doivent être étiquetées](ec2-controls.md#ec2-36)
+ [[EC2.37] Les adresses IP élastiques EC2 doivent être balisées](ec2-controls.md#ec2-37)
+ [[EC2.38] Les instances EC2 doivent être étiquetées](ec2-controls.md#ec2-38)
+ [[EC2.39] Les passerelles Internet EC2 doivent être étiquetées](ec2-controls.md#ec2-39)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.41] Le réseau EC2 doit être étiqueté ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Les tables de routage EC2 doivent être étiquetées](ec2-controls.md#ec2-42)
+ [[EC2.43] Les groupes de sécurité EC2 doivent être balisés](ec2-controls.md#ec2-43)
+ [[EC2.44] Les sous-réseaux EC2 doivent être balisés](ec2-controls.md#ec2-44)
+ [[EC2.45] Les volumes EC2 doivent être balisés](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs doit être tagué](ec2-controls.md#ec2-46)
+ [[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés](ec2-controls.md#ec2-47)
+ [[EC2.48] Les journaux de flux Amazon VPC doivent être balisés](ec2-controls.md#ec2-48)
+ [[EC2.49] Les connexions d'appairage Amazon VPC doivent être étiquetées](ec2-controls.md#ec2-49)
+ [[EC2.50] Les passerelles VPN EC2 doivent être étiquetées](ec2-controls.md#ec2-50)
+ [[EC2.52] Les passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-52)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECS.13] Les services ECS doivent être balisés](ecs-controls.md#ecs-13)
+ [[ECS.14] Les clusters ECS doivent être balisés](ecs-controls.md#ecs-14)
+ [[ECS.15] Les définitions de tâches ECS doivent être étiquetées](ecs-controls.md#ecs-15)
+ [[EFS.5] Les points d'accès EFS doivent être étiquetés](efs-controls.md#efs-5)
+ [[EKS.6] Les clusters EKS doivent être étiquetés](eks-controls.md#eks-6)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9)
+ [[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés](iam-controls.md#iam-23)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Les flux Kinesis doivent être balisés](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Les fonctions Lambda doivent être étiquetées](lambda-controls.md#lambda-6)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées](networkfirewall-controls.md#networkfirewall-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.28] Les clusters de base de données RDS doivent être balisés](rds-controls.md#rds-28)
+ [[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés](rds-controls.md#rds-29)
+ [[RDS.30] Les instances de base de données RDS doivent être étiquetées](rds-controls.md#rds-30)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.32] Les instantanés de base de données RDS doivent être balisés](rds-controls.md#rds-32)
+ [[RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés](rds-controls.md#rds-33)
+ [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11)
+ [[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés](redshift-controls.md#redshift-12)
+ [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13)
+ [[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés](redshift-controls.md#redshift-14)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SNS.3] Les sujets SNS doivent être balisés](sns-controls.md#sns-3)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2)
+ [Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés](transfer-controls.md#transfer-1)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
# La référence de CIS AWS Foundations en matière de Security Hub (CSPM)
Le test de AWS base du Center for Internet Security (CIS) sert d'ensemble de meilleures pratiques de configuration de sécurité pour AWS. Ces meilleures pratiques reconnues par l'industrie vous fournissent des procédures claires de step-by-step mise en œuvre et d'évaluation. Qu'il s'agisse de systèmes d'exploitation, de services cloud ou d'appareils réseau, les contrôles de ce benchmark vous aident à protéger les systèmes spécifiques utilisés par votre entreprise.
AWS Security Hub CSPM prend en charge les versions 5.0.0, 3.0.0, 1.4.0 et 1.2.0 de CIS AWS Foundations Benchmark. Cette page répertorie les contrôles de sécurité pris en charge par chaque version. Il fournit également une comparaison des versions.
## Version de référence 5.0.0 de CIS AWS Foundations
Security Hub CSPM prend en charge la version 5.0.0 (v5.0.0) du CIS Foundations Benchmark. AWS Security Hub CSPM a satisfait aux exigences de la certification logicielle de sécurité CIS et a obtenu la certification logicielle de sécurité CIS pour les benchmarks CIS suivants :
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v5.0.0, niveau 1
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v5.0.0, niveau 2
### Contrôles applicables à la version 5.0.0 de CIS AWS Foundations Benchmark
[[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
[[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)
[[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)
[[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
[[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7)
[[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8)
[[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
[[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
[[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
[[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
[[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)
[[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
[[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
[[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
[[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
[[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
[[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
[[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
[[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
[[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
[[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
[[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
[[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
[La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)
[[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)
[[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3)
[[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité](rds-controls.md#rds-5)
[[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13)
[[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15)
[[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)
[[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
[[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)
[[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
[[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
[[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
## Version de référence 3.0.0 de CIS AWS Foundations
Security Hub CSPM prend en charge la version 3.0.0 (v3.0.0) du CIS Foundations Benchmark. AWS Security Hub CSPM a satisfait aux exigences de la certification logicielle de sécurité CIS et a obtenu la certification logicielle de sécurité CIS pour les benchmarks CIS suivants :
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v3.0.0, niveau 1
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v3.0.0, niveau 2
### Contrôles applicables à la version 3.0.0 de CIS AWS Foundations Benchmark
[[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
[[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)
[[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)
[[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
[[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7)
[[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8)
[[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
[[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
[[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
[[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
[[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
[[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
[[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
[[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
[[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
[[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
[[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
[[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
[[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
[[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
[[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
[[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
[La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)
[[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)
[[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3)
[[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13)
[[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)
[[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
[[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)
[[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
[[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
[[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
## Version de référence 1.4.0 de CIS AWS Foundations
Security Hub CSPM prend en charge la version 1.4.0 (v1.4.0) du CIS Foundations Benchmark. AWS
### Contrôles applicables à la version 1.4.0 de CIS AWS Foundations Benchmark
[[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14)
[[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)
[[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)
[[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
[[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7)
[[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
[[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
[[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
[[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
[[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
[[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
[[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
[[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
[[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
[[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
[La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)
[[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3)
[[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)
[[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
[[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)
[[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
## Version de référence 1.2.0 de CIS AWS Foundations
Security Hub CSPM prend en charge la version 1.2.0 (v1.2.0) du CIS Foundations Benchmark. AWS Security Hub CSPM a satisfait aux exigences de la certification logicielle de sécurité CIS et a obtenu la certification logicielle de sécurité CIS pour les benchmarks CIS suivants :
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v1.2.0, niveau 1
+ Benchmark CIS pour CIS AWS Foundations Benchmark, v1.2.0, niveau 2
### Contrôles applicables à la version 1.2.0 de CIS AWS Foundations Benchmark
[[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2)
[[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA](cloudwatch-controls.md#cloudwatch-3)
[[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14)
[[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)
[[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)
[[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
[[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13)
[[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
[[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
[[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
[[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
[[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
[[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
[[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
[[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
[[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
[[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
[[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
[[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
[[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
[[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
[[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
[[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
[La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)
## Comparaison des versions pour CIS AWS Foundations Benchmark
Cette section résume les différences entre les versions spécifiques du Center for Internet Security (CIS) AWS Foundations Benchmark : v5.0.0, v3.0.0, v1.4.0 et v1.2.0. AWS Security Hub CSPM prend en charge chacune de ces versions du CIS AWS Foundations Benchmark. Toutefois, nous vous recommandons d'utiliser la version 5.0.0 pour rester au fait des meilleures pratiques en matière de sécurité. Vous pouvez activer plusieurs versions des normes de référence de CIS AWS Foundations en même temps. Pour plus d'informations sur les normes habilitantes, voir[Mise en place d'une norme de sécurité](enable-standards.md). Si vous souhaitez passer à la version 5.0.0, activez-la avant de désactiver une ancienne version. Cela permet d'éviter les failles dans vos contrôles de sécurité. [Si vous utilisez l'intégration CSPM de Security Hub AWS Organizations et que vous souhaitez activer par lots la version 5.0.0 sur plusieurs comptes, nous vous recommandons d'utiliser une configuration centralisée.](central-configuration-intro.md)
### Mise en correspondance des contrôles avec les exigences du CIS dans chaque version
Découvrez les contrôles pris en charge par chaque version du CIS AWS Foundations Benchmark.
| ID et titre du contrôle | Exigence CIS v5.0.0 | Exigence CIS v3.0.0 | Exigence CIS v1.4.0 | Exigence CIS v1.2.0 |
| --- | --- | --- | --- | --- |
| [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1) | 1.2 | 1.2 | 1.2 | 1,18 |
| [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1) | 3.1 | 3.1 | 3.1 | 2.1 |
| [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2) | 3,5 | 3,5 | 3.7 | 2.7 |
| [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4) | 3.2 | 3.2 | 3.2 | 2.2 |
| [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | 3.4 | 2,4 |
| [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | 3.3 | 2.3 |
| [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) | 3.4 | 3.4 | 3.6 | 2.6 |
| [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4.3 | 3.3 |
| [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 3.1 |
| [[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA](cloudwatch-controls.md#cloudwatch-3) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 3.2 |
| [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4,4 | 3.4 |
| [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4,5 | 3,5 |
| [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4.6 | 3.6 |
| [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4,7 | 3.7 |
| [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4.8 | 3.8 |
| [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4,9 | 3.9 |
| [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4,10 | 3,10 |
| [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4,11 | 3,11 |
| [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4,12 | 3,12 |
| [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4,13 | 3.13 |
| [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | 4,14 | 3,14 |
| [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) | 3.3 | 3.3 | 3,5 | 2,5 |
| [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) | 5.5 | 5.4 | 5.3 | 4.3 |
| [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6) | 3.7 | 3.7 | 3.9 | 2.9 |
| [[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7) | 5.1.1 | 2.2.1 | 2.2.1 | Non pris en charge |
| [[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8) | 5.7 | 5.6 | Non pris en charge | Non pris en charge |
| [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) | Non pris en charge — remplacé par les exigences 5.3 et 5.4 | Non pris en charge — remplacé par les exigences 5.2 et 5.3 | Non pris en charge — remplacé par les exigences 5.2 et 5.3 | 4.1 |
| [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) | Non pris en charge — remplacé par les exigences 5.3 et 5.4 | Non pris en charge — remplacé par les exigences 5.2 et 5.3 | Non pris en charge — remplacé par les exigences 5.2 et 5.3 | 4.2 |
| [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) | 5.2 | 5.1 | 5.1 | Non pris en charge |
| [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53) | 5.3 | 5.2 | Non pris en charge | Non pris en charge |
| [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54) | 5.4 | 5.3 | Non pris en charge | Non pris en charge |
| [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1) | 2.3.1 | 2.4.1 | Non pris en charge | Non pris en charge |
| [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8) | 2.3.1 | Non pris en charge | Non pris en charge | Non pris en charge |
| [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) | Non pris en charge | Non pris en charge | 1.16 | 1,22 |
| [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) | 1.14 | 1.15 | Non pris en charge | 1.16 |
| [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) | 1.13 | 1.14 | 1.14 | 1.4 |
| [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) | 1.3 | 1.4 | 1.4 | 1.12 |
| [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) | 1.9 | 1.10 | 1.10 | 1.2 |
| [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) | 1.5 | 1.6 | 1.6 | 1.14 |
| [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) | Non pris en charge — voir [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) plutôt | Non pris en charge — voir [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) plutôt | Non pris en charge — voir [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) plutôt | 1.3 |
| [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) | 1.4 | 1.5 | 1.5 | 1.13 |
| [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | 1.5 |
| [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | 1.6 |
| [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | 1,7 |
| [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | 1.8 |
| [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) | 1,7 | 1.8 | 1.8 | 1.9 |
| [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) | 1.8 | 1.9 | 1.9 | 1.10 |
| [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | 1.11 |
| [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) | 1.16 | 1,17 | 1,17 | 1.2 |
| [[IAM.20] Évitez d'utiliser l'utilisateur root](iam-controls.md#iam-20) | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | Non pris en charge — CIS a supprimé cette exigence | 1.1 |
| [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22) | 1.11 | 1.12 | 1.12 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26) | 1,18 | 1,19 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27) | 1,21 | 1,22 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28) | 1,19 | 1,20 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4) | 3.6 | 3.6 | 3.8 | 2,8 |
| [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1) | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle | Non pris en charge — vérification manuelle |
| [[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2) | 2.2.3 | 2.3.3 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3) | 2.2.1 | 2.3.1 | 2.3.1 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité](rds-controls.md#rds-5) | 2.2.4 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13) | 2.2.2 | 2.3.2 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15) | 2.2.4 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1) | 2.1.4 | 2.1.4 | 2.1.5 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5) | 2.1.1 | 2.1.1 | 2.1.2 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8) | 2.1.4 | 2.1.4 | 2.1.5 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
| [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) | 2.1.2 | 2.1.2 | 2.1.3 | Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures |
### ARNs pour CIS AWS Foundations Benchmarks
Lorsque vous activez une ou plusieurs versions du CIS AWS Foundations Benchmark, vous commencez à recevoir les résultats au format ASFF ( AWS Security Finding Format). Dans ASFF, chaque version utilise le nom de ressource Amazon (ARN) suivant :
**Benchmark CIS AWS Foundations v5.0.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`
**Benchmark CIS AWS Foundations v3.0.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`
**Benchmark CIS AWS Foundations v1.4.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`
**Benchmark CIS AWS Foundations v1.2.0**
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`
Vous pouvez utiliser le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)fonctionnement de l'API Security Hub CSPM pour trouver l'ARN d'une norme activée.
Les valeurs précédentes sont pour`StandardsArn`. Toutefois, `StandardsSubscriptionArn` fait référence à la ressource d'abonnement standard créée par Security Hub CSPM lorsque vous vous abonnez à une norme [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)en appelant dans une région.
**Note**
Lorsque vous activez une version du CIS AWS Foundations Benchmark, Security Hub CSPM peut mettre jusqu'à 18 heures à générer des résultats pour les contrôles qui utilisent la même règle AWS Config liée au service que les contrôles activés dans d'autres normes activées. Pour plus d'informations sur le calendrier de génération des résultats de contrôle, consultez[Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
Les champs de recherche diffèrent si vous activez les résultats de contrôle consolidés. Pour plus d'informations sur ces différences, consultez[Impact de la consolidation sur les domaines et les valeurs d'ASFF](asff-changes-consolidation.md). Pour les résultats du contrôle des échantillons, voir[Échantillons de résultats de contrôle](sample-control-findings.md).
### Exigences du CIS qui ne sont pas prises en charge dans Security Hub CSPM
Comme indiqué dans le tableau précédent, Security Hub CSPM ne prend pas en charge toutes les exigences du CIS dans toutes les versions du CIS AWS Foundations Benchmark. La plupart des exigences non prises en charge ne peuvent être évaluées qu'en examinant manuellement l'état de vos AWS ressources.
# NIST SP 800-53, révision 5 dans Security Hub CSPM
La publication spéciale 800-53 révision 5 du NIST (NIST SP 800-53 Rev. 5) est un cadre de cybersécurité et de conformité développé par le National Institute of Standards and Technology (NIST), une agence qui fait partie du département du commerce des États-Unis. Ce cadre de conformité fournit un catalogue des exigences de sécurité et de confidentialité pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information et des ressources critiques. Les agences du gouvernement fédéral américain et les sous-traitants doivent se conformer à ces exigences pour protéger leurs systèmes et leurs organisations. Les organisations privées peuvent également utiliser volontairement les exigences comme cadre directeur pour réduire les risques de cybersécurité. Pour plus d'informations sur le framework et ses exigences, consultez le [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) dans le *NIST Computer* Security Resource Center.
AWS Security Hub CSPM fournit des contrôles de sécurité qui répondent à un sous-ensemble des exigences du NIST SP 800-53 Revision 5. Les contrôles effectuent des contrôles de sécurité automatisés pour certaines ressources Services AWS et ressources. Pour activer et gérer ces contrôles, vous pouvez activer le framework NIST SP 800-53 Revision 5 en tant que norme dans Security Hub CSPM. Notez que les commandes ne sont pas compatibles avec les exigences du NIST SP 800-53 révision 5 qui nécessitent des vérifications manuelles.
Contrairement à d'autres frameworks, le framework NIST SP 800-53 Revision 5 n'est pas prescriptif quant à la manière dont ses exigences doivent être évaluées. Le cadre fournit plutôt des directives. Dans Security Hub CSPM, la norme NIST SP 800-53 Revision 5 et les contrôles reflètent la compréhension de ces directives par le service.
**Topics**
+ [Configuration de l'enregistrement des ressources pour la norme](#standards-reference-nist-800-53-recording)
+ [Déterminer quels contrôles s'appliquent à la norme](#standards-reference-nist-800-53-controls)
## Configuration de l'enregistrement des ressources pour les contrôles qui s'appliquent à la norme
Pour optimiser la couverture et la précision des résultats, il est important d'activer et de configurer l'enregistrement des ressources AWS Config avant d'activer la norme NIST SP 800-53 Revision 5 dans AWS Security Hub CSPM. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Cela concerne principalement les contrôles dotés d'un type de calendrier *déclenché par des modifications*. Toutefois, certains contrôles dotés d'un type de calendrier *périodique* nécessitent également un enregistrement des ressources. Si l'enregistrement des ressources n'est pas activé ou configuré correctement, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles qui s'appliquent à la norme.
Pour plus d'informations sur la manière dont Security Hub CSPM utilise l'enregistrement des ressources dans AWS Config, consultez. [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md) Pour plus d'informations sur la configuration de l'enregistrement des ressources dans AWS Config, voir [Utilisation de l'enregistreur de configuration](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) dans le *Guide du AWS Config développeur*.
Le tableau suivant indique les types de ressources à enregistrer pour les contrôles qui s'appliquent à la norme NIST SP 800-53 Revision 5 dans Security Hub CSPM.
| Service AWS | Types de ressources |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Déterminer quels contrôles s'appliquent à la norme
La liste suivante indique les contrôles qui répondent aux exigences du NIST SP 800-53 Revision 5 et s'appliquent à la norme NIST SP 800-53 Revision 5 dans Security Hub AWS CSPM. Pour plus de détails sur les exigences spécifiques prises en charge par un contrôle, choisissez le contrôle. Reportez-vous ensuite au champ **Exigences connexes** dans les détails du contrôle. Ce champ indique chaque exigence NIST prise en charge par le contrôle. Si le champ ne spécifie aucune exigence NIST particulière, le contrôle ne prend pas en charge cette exigence.
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques](autoscaling-controls.md#autoscaling-5)
+ [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées](cloudwatch-controls.md#cloudwatch-15)
+ [[CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée](cloudwatch-controls.md#cloudwatch-16)
+ [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)
+ [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
+ [[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande](dynamodb-controls.md#dynamodb-1)
+ [[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time](dynamodb-controls.md#dynamodb-2)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement](ec2-controls.md#ec2-1)
+ [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)
+ [[EC2.3] Les volumes Amazon EBS attachés doivent être chiffrés au repos](ec2-controls.md#ec2-3)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
+ [[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7)
+ [[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8)
+ [[EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse publique IPv4](ec2-controls.md#ec2-9)
+ [[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.12] L'Amazon EIPs EC2 non utilisé doit être supprimé](ec2-controls.md#ec2-12)
+ [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13)
+ [[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques](ec2-controls.md#ec2-15)
+ [[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées](ec2-controls.md#ec2-16)
+ [[EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENIs](ec2-controls.md#ec2-17)
+ [[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés](ec2-controls.md#ec2-18)
+ [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19)
+ [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés](ecs-controls.md#ecs-1)
+ [[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS](ecs-controls.md#ecs-2)
+ [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
+ [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
+ [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
+ [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
+ [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
+ [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
+ [[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public](eks-controls.md#eks-1)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS](elb-controls.md#elb-1)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides](elb-controls.md#elb-4)
+ [[ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée](elb-controls.md#elb-5)
+ [[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau](elb-controls.md#elb-6)
+ [[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-7)
+ [[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8)
+ [[ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-9)
+ [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
+ [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch](es-controls.md#es-1)
+ [[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2)
+ [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch](es-controls.md#es-5)
+ [[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données](es-controls.md#es-6)
+ [[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés](es-controls.md#es-7)
+ [[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8)
+ [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance](kms-controls.md#kms-3)
+ [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)
+ [[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1)
+ [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2)
+ [[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC](lambda-controls.md#lambda-3)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures](mq-controls.md#mq-3)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1)
+ [[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)
+ [[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3)
+ [[RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos](rds-controls.md#rds-4)
+ [[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité](rds-controls.md#rds-5)
+ [[RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS](rds-controls.md#rds-6)
+ [[RDS.7] La protection contre la suppression des clusters RDS doit être activée](rds-controls.md#rds-7)
+ [[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée](rds-controls.md#rds-8)
+ [[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-9)
+ [[RDS.10] L'authentification IAM doit être configurée pour les instances RDS](rds-controls.md#rds-10)
+ [[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS](rds-controls.md#rds-11)
+ [[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS](rds-controls.md#rds-12)
+ [[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15)
+ [[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16)
+ [[RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés](rds-controls.md#rds-17)
+ [[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster](rds-controls.md#rds-19)
+ [[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20)
+ [[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données](rds-controls.md#rds-21)
+ [[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données](rds-controls.md#rds-22)
+ [[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données](rds-controls.md#rds-23)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1)
+ [[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2)
+ [[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3)
+ [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6)
+ [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)
+ [[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture](s3-controls.md#s3-2)
+ [[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture](s3-controls.md#s3-3)
+ [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
+ [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6)
+ [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7)
+ [[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)
+ [[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9)
+ [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
+ [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
+ [[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée](s3-controls.md#s3-14)
+ [[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général](s3-controls.md#s3-15)
+ [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)
+ [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié](secretsmanager-controls.md#secretsmanager-4)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS](sns-controls.md#sns-1)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
+ [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
# NIST SP 800-171, révision 2 dans Security Hub CSPM
La publication spéciale 800-171 révision 2 du NIST (NIST SP 800-171 Rev. 2) est un cadre de cybersécurité et de conformité développé par le National Institute of Standards and Technology (NIST), une agence qui fait partie du département du commerce des États-Unis. Ce cadre de conformité fournit des exigences de sécurité recommandées pour protéger la confidentialité des informations contrôlées non classifiées dans les systèmes et les organisations qui ne font pas partie du gouvernement fédéral américain. *Les informations contrôlées non classifiées*, également appelées *CUI*, sont des informations sensibles qui ne répondent pas aux critères de classification gouvernementaux mais qui doivent être protégées. Il s'agit d'informations considérées comme sensibles créées ou détenues par le gouvernement fédéral américain ou d'autres entités pour le compte du gouvernement fédéral américain.
Le NIST SP 800-171 Rev. 2 fournit des exigences de sécurité recommandées pour protéger la confidentialité du CUI lorsque :
+ Les informations se trouvent dans des systèmes et des organisations non fédéraux,
+ L'organisation non fédérale ne collecte ni ne conserve d'informations pour le compte d'un organisme fédéral, ni n'utilise ou n'exploite un système pour le compte d'un organisme, et
+ Il n'existe aucune exigence de sauvegarde spécifique pour protéger la confidentialité des CUI prescrite par la loi habilitante, la réglementation ou la politique gouvernementale pour la catégorie CUI répertoriée dans le registre CUI.
Les exigences s'appliquent à tous les composants des systèmes et organisations non fédéraux qui traitent, stockent ou transmettent les CUI, ou fournissent une protection de sécurité pour les composants. Pour plus d'informations, consultez le [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) dans le centre de ressources sur la sécurité *informatique du NIST.*
AWS Security Hub CSPM fournit des contrôles de sécurité qui répondent à un sous-ensemble des exigences du NIST SP 800-171 Revision 2. Les contrôles effectuent des contrôles de sécurité automatisés pour certaines ressources Services AWS et ressources. Pour activer et gérer ces contrôles, vous pouvez activer le framework NIST SP 800-171 Revision 2 en tant que norme dans Security Hub CSPM. Notez que les commandes ne sont pas compatibles avec les exigences du NIST SP 800-171 révision 2 qui nécessitent des vérifications manuelles.
**Topics**
+ [Configuration de l'enregistrement des ressources pour la norme](#standards-reference-nist-800-171-recording)
+ [Déterminer quels contrôles s'appliquent à la norme](#standards-reference-nist-800-171-controls)
## Configuration de l'enregistrement des ressources pour les contrôles qui s'appliquent à la norme
Pour optimiser la couverture et la précision des résultats, il est important d'activer et de configurer l'enregistrement des ressources AWS Config avant d'activer la norme NIST SP 800-171 Revision 2 dans AWS Security Hub CSPM. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme.
Pour plus d'informations sur la manière dont Security Hub CSPM utilise l'enregistrement des ressources dans AWS Config, consultez. [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md) Pour plus d'informations sur la configuration de l'enregistrement des ressources dans AWS Config, voir [Utilisation de l'enregistreur de configuration](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) dans le *Guide du AWS Config développeur*.
Le tableau suivant indique les types de ressources à enregistrer pour les contrôles qui s'appliquent à la norme NIST SP 800-171 Revision 2 dans Security Hub CSPM.
| Service AWS | Types de ressources |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| Gestion des identités et des accès AWS(JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Déterminer quels contrôles s'appliquent à la norme
La liste suivante indique les contrôles qui répondent aux exigences du NIST SP 800-171 Revision 2 et s'appliquent à la norme NIST SP 800-171 Revision 2 dans Security Hub AWS CSPM. Pour plus de détails sur les exigences spécifiques prises en charge par un contrôle, choisissez le contrôle. Reportez-vous ensuite au champ **Exigences connexes** dans les détails du contrôle. Ce champ indique chaque exigence NIST prise en charge par le contrôle. Si le champ ne spécifie aucune exigence NIST particulière, le contrôle ne prend pas en charge cette exigence.
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées](ec2-controls.md#ec2-16)
+ [[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés](ec2-controls.md#ec2-18)
+ [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19)
+ [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
+ [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6)
+ [[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée](s3-controls.md#s3-14)
+ [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
# PCI DSS dans Security Hub CSPM
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un cadre de conformité tiers qui fournit un ensemble de règles et de directives pour traiter en toute sécurité les informations relatives aux cartes de crédit et de débit. Le Conseil des normes de sécurité PCI (SSC) crée et met à jour ce cadre.
AWS Security Hub CSPM fournit une norme PCI DSS qui peut vous aider à rester en conformité avec ce framework tiers. Vous pouvez utiliser cette norme pour découvrir des failles de sécurité dans les AWS ressources qui traitent les données des titulaires de cartes. Nous recommandons d'activer cette norme dans les Comptes AWS cas où des ressources stockent, traitent ou transmettent les données des titulaires de cartes ou les données d'authentification sensibles. Les évaluations réalisées par le PCI SSC ont validé cette norme.
Security Hub CSPM prend en charge les normes PCI DSS v3.2.1 et PCI DSS v4.0.1. Nous vous recommandons d'utiliser la version 4.0.1 pour rester au fait des meilleures pratiques en matière de sécurité. Vous pouvez activer les deux versions de la norme en même temps. Pour plus d'informations sur les normes habilitantes, voir[Mise en place d'une norme de sécurité](enable-standards.md). Si vous utilisez actuellement la version 3.2.1 mais que vous souhaitez utiliser uniquement la version 4.0.1, activez la version la plus récente avant de désactiver l'ancienne version. Cela permet d'éviter les failles dans vos contrôles de sécurité. Si vous utilisez l'intégration CSPM de Security Hub AWS Organizations et que vous souhaitez activer par lots la version 4.0.1 sur plusieurs comptes, nous vous recommandons d'utiliser une [configuration centralisée](central-configuration-intro.md) pour ce faire.
Les sections suivantes indiquent les contrôles qui s'appliquent aux normes PCI DSS v3.2.1 et PCI DSS v4.0.1.
## Contrôles applicables à la norme PCI DSS v3.2.1
La liste suivante indique quels contrôles Security Hub CSPM s'appliquent à la norme PCI DSS v3.2.1. Pour consulter les détails d'un contrôle, choisissez-le.
[[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1)
[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3)
[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)
[[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)
[[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
[[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1)
[[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1)
[[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement](ec2-controls.md#ec2-1)
[[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2)
[[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
[[EC2.12] L'Amazon EIPs EC2 non utilisé doit être supprimé](ec2-controls.md#ec2-12)
[[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13)
[[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS](elb-controls.md#elb-1)
[[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch](es-controls.md#es-1)
[[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2)
[[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
[[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
[[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
[[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
[[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
[[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
[[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
[[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
[La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)
[[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1)
[[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC](lambda-controls.md#lambda-3)
[Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
[Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
[[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1)
[[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)
[[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1)
[[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)
[[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture](s3-controls.md#s3-2)
[[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture](s3-controls.md#s3-3)
[[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
[[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7)
[[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
[[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1)
[[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
[[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)
## Contrôles applicables à la norme PCI DSS v4.0.1
La liste suivante indique quels contrôles Security Hub CSPM s'appliquent à la norme PCI DSS v4.0.1. Pour consulter les détails d'un contrôle, choisissez-le.
[[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
[[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
[[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
[[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
[[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
[[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques](autoscaling-controls.md#autoscaling-5)
[[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
[[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
[[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
[[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
[[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
[[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
[[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
[[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3)
[[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
[[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
[[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
[[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
[[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1)
[[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
[[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
[[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
[[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
[[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
[[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
[[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
[[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
[[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
[[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
[[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
[[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13)
[[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
[[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques](ec2-controls.md#ec2-15)
[[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées](ec2-controls.md#ec2-16)
[[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
[[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
[[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
[[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
[[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
[[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
[[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
[[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-8)
[[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
[[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
[[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16)
[[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS](ecs-controls.md#ecs-2)
[[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
[[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
[[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public](eks-controls.md#eks-1)
[[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
[[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
[[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
[[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
[[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
[[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
[[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
[[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
[[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
[[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
[[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3)
[[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides](elb-controls.md#elb-4)
[[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8)
[[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
[[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
[[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2)
[[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3)
[[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch](es-controls.md#es-5)
[[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8)
[[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
[[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
[[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
[[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
[[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
[[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
[[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
[[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
[[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
[[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
[[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
[[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
[[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
[[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
[[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
[[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
[[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
[[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
[[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
[[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
[[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
[[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
[[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
[La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4)
[[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1)
[[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2)
[[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
[[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures](mq-controls.md#mq-3)
[[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
[[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
[[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
[[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
[Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
[[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
[[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées](rds-controls.md#rds-13)
[[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2)
[[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20)
[[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données](rds-controls.md#rds-21)
[[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données](rds-controls.md#rds-22)
[[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
[[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
[[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
[[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
[[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36)
[[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
[[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-9)
[[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1)
[[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
[[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2)
[[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4)
[[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
[[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1)
[[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général](s3-controls.md#s3-15)
[[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17)
[[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)
[[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
[[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
[[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
[[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
[[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8)
[[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9)
[[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
[[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée](secretsmanager-controls.md#secretsmanager-1)
[[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés](secretsmanager-controls.md#secretsmanager-2)
[[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié](secretsmanager-controls.md#secretsmanager-4)
[[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
[[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)
[[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
[[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
[[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
[[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11)
# Normes de gestion des services dans Security Hub CSPM
Une norme gérée par un service est une norme de sécurité Service AWS gérée par un autre, mais que vous pouvez consulter dans Security Hub CSPM. Par exemple, [Service-Managed Standard : AWS Control Tower est une norme gérée](service-managed-standard-aws-control-tower.md) par les services qui gère. AWS Control Tower Une norme gérée par les services diffère d'une norme de sécurité gérée par AWS Security Hub CSPM des manières suivantes :
+ **Création et suppression d'une norme** : vous créez et supprimez une norme gérée par un service à l'aide de la console ou de l'API du service de gestion, ou à l'aide du. AWS CLI Tant que vous n'avez pas créé la norme dans le service de gestion de l'une de ces manières, la norme n'apparaît pas dans la console Security Hub CSPM et n'est pas accessible via l'API Security Hub CSPM ou. AWS CLI
+ **Aucune activation automatique des contrôles** : lorsque vous créez une norme gérée par un service, Security Hub CSPM et le service de gestion n'activent pas automatiquement les contrôles qui s'appliquent à la norme. En outre, lorsque Security Hub CSPM publie de nouvelles commandes pour la norme, elles ne sont pas automatiquement activées. Il s'agit d'une dérogation aux normes gérées par Security Hub CSPM. Pour plus d'informations sur le mode habituel de configuration des contrôles dans Security Hub CSPM, consultez. [Comprendre les contrôles de sécurité dans Security Hub CSPM](controls-view-manage.md)
+ **Activation et désactivation des contrôles** : nous recommandons d'activer et de désactiver les contrôles dans le service de gestion pour éviter toute dérive.
+ **Disponibilité des contrôles** — Le service de gestion choisit les contrôles disponibles dans le cadre de la norme de gestion des services. Les contrôles disponibles peuvent inclure la totalité ou un sous-ensemble des contrôles CSPM existants du Security Hub.
Une fois que le service de gestion a créé la norme gérée par le service et mis à disposition des contrôles pour celle-ci, vous pouvez accéder aux résultats de vos contrôles, à l'état des contrôles et au score de sécurité standard dans la console Security Hub CSPM, l'API Security Hub CSPM ou. AWS CLI Certaines ou toutes ces informations peuvent également être disponibles dans le service de gestion.
Sélectionnez une norme gérée par des services dans la liste suivante pour obtenir plus de détails à ce sujet.
**Topics**
+ [Norme de gestion des services : AWS Control Tower](service-managed-standard-aws-control-tower.md)
# Norme de gestion des services : AWS Control Tower
Cette section fournit des informations sur Service-Managed Standard :. AWS Control Tower
## Qu'est-ce que Service-Managed Standard : ? AWS Control Tower
Norme gérée par les services : AWS Control Tower norme gérée par les services qui AWS Control Tower gère et prend en charge un sous-ensemble de contrôles Security Hub. Cette norme est conçue pour les utilisateurs de AWS Security Hub CSPM et. AWS Control Tower Il vous permet de configurer les contrôles de détection du Security Hub CSPM à partir du AWS Control Tower service.
Les contrôles Detective détectent la non-conformité des ressources (par exemple, les erreurs de configuration) au sein de votre. Comptes AWS
**Astuce**
Les normes de gestion des services diffèrent des normes gérées par AWS Security Hub CSPM. Par exemple, vous devez créer et supprimer une norme gérée par un service dans le service de gestion. Pour de plus amples informations, veuillez consulter [Normes de gestion des services dans Security Hub CSPM](service-managed-standards.md).
Lorsque vous activez un contrôle Security Hub CSPM via AWS Control Tower, Control Tower active également le Security Hub CSPM pour vous dans ces comptes et régions spécifiques, s'il n'est pas déjà activé. Dans la console et l'API Security Hub CSPM, vous pouvez consulter Service-Managed Standard : ainsi que les autres normes CSPM du AWS Control Tower Security Hub, une fois la norme activée depuis. AWS Control Tower
Pour plus d'informations sur cette norme, consultez la section [Contrôles CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) dans le guide de l'*AWS Control Tower utilisateur*.
## Création de la norme
Cette norme n'est disponible dans Security Hub CSPM que si vous activez les contrôles Security Hub CSPM depuis. AWS Control Tower AWS Control Tower crée la norme lorsque vous activez pour la première fois un contrôle applicable en utilisant l'une des méthodes suivantes :
+ AWS Control Tower console
+ AWS Control Tower API (appelez l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (exécutez la [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)commande)
Lorsque vous activez un contrôle Security Hub CSPM via AWS Control Tower, si vous n'avez pas encore activé Security Hub CSPM, il active également le AWS Control Tower Security Hub CSPM pour vous dans ces comptes et régions spécifiques.
Pour identifier un contrôle Security Hub CSPM par ID de contrôle dans Control Catalog, vous pouvez utiliser le champ `Implementation.Identifier` dans. AWS Control Tower Ce champ correspond à l'ID de contrôle Security Hub CSPM et peut être utilisé pour filtrer un ID de contrôle spécifique. Pour récupérer les métadonnées de contrôle pour un contrôle Security Hub CSPM spécifique (par exemple, « CodeBuild .1") dans AWS Control Tower, vous pouvez utiliser l'API : [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)
`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'`
Vous ne pouvez pas consulter ou accéder à cette norme dans la console Security Hub CSPM, dans l'API Security Hub CSPM, ou AWS CLI sans avoir préalablement configuré et activé les contrôles AWS Control Tower Security Hub CSPM à l' AWS Control Tower aide de l'une des méthodes précédentes.
Cette norme n'est disponible que [Régions AWS là où elle AWS Control Tower est disponible](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).
## Activation et désactivation des commandes dans le standard
Une fois que vous avez activé les contrôles Security Hub CSPM AWS Control Tower et que le Service Managed Standard : AWS Control Tower standard a été créé, vous pouvez consulter le standard et les contrôles disponibles dans Security Hub CSPM.
Lorsque Security Hub CSPM ajoute de nouvelles commandes au Service Managed Standard : AWS Control Tower standard, elles ne sont pas automatiquement activées pour les clients qui ont activé la norme. Vous devez activer et désactiver les commandes pour le formulaire standard en AWS Control Tower utilisant l'une des méthodes suivantes :
+ AWS Control Tower console
+ AWS Control Tower API (appelez le [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)et [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (exécutez les [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)commandes [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)et)
Lorsque vous modifiez le statut d'activation d'un contrôle dans AWS Control Tower, le changement est également reflété dans Security Hub CSPM.
Cependant, la désactivation d'un contrôle activé dans Security Hub CSPM AWS Control Tower entraîne une dérive du contrôle. L'état du contrôle AWS Control Tower apparaît sous la forme`Drifted`. Vous pouvez résoudre cette dérive en utilisant l'[ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API pour réinitialiser le contrôle qui est en dérive, en sélectionnant [Ré-enregistrer l'OU dans la AWS Control Tower console, ou](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) en désactivant et réactivant le contrôle à l' AWS Control Tower aide de l'une des méthodes précédentes.
L'exécution des actions d'activation et de désactivation vous AWS Control Tower permet d'éviter toute dérive de contrôle.
Lorsque vous activez ou désactivez les contrôles dans AWS Control Tower, l'action s'applique à tous les comptes et régions régis par AWS Control Tower. Si vous activez et désactivez les contrôles dans Security Hub CSPM (ce n'est pas recommandé pour cette norme), l'action s'applique uniquement au compte et à la région actuels.
**Note**
[La configuration centrale](central-configuration-intro.md) ne peut pas être utilisée pour gérer Service-Managed Standard :. AWS Control Tower Vous *ne* pouvez utiliser le AWS Control Tower service que pour activer et désactiver les contrôles dans cette norme.
## Affichage de l'état d'activation et de l'état du contrôle
Vous pouvez consulter le statut d'activation d'un contrôle à l'aide de l'une des méthodes suivantes :
+ console Security Hub CSPM, API Security Hub CSPM ou AWS CLI
+ AWS Control Tower console
+ AWS Control Tower API pour voir la liste des contrôles activés (appelez l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI pour voir la liste des contrôles activés (exécutez la [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)commande)
Un contrôle que vous désactivez AWS Control Tower a le statut d'activation `Disabled` dans Security Hub CSPM, sauf si vous activez explicitement ce contrôle dans Security Hub CSPM.
Security Hub CSPM calcule l'état du contrôle en fonction de l'état du flux de travail et de l'état de conformité des résultats du contrôle. Pour plus d'informations sur le statut d'activation et le statut du contrôle, consultez[Examiner les détails des contrôles dans Security Hub CSPM](securityhub-standards-control-details.md).
Sur la base des états de contrôle, Security Hub CSPM calcule un [score de sécurité](standards-security-score.md) pour Service-Managed Standard :. AWS Control Tower Ce score n'est disponible que dans Security Hub CSPM. En outre, vous ne pouvez consulter les [résultats des contrôles](controls-findings-create-update.md) que dans Security Hub CSPM. Le score de sécurité standard et les résultats des contrôles ne sont pas disponibles dans AWS Control Tower.
**Note**
Lorsque vous activez les contrôles pour Service-Managed Standard : AWS Control Tower, Security Hub CSPM peut mettre jusqu'à 18 heures pour générer les résultats des contrôles qui utilisent une règle liée à un service existante. AWS Config Vous disposez peut-être de règles liées aux services si vous avez activé d'autres normes et contrôles dans Security Hub CSPM. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
## Supprimer le standard
Vous pouvez supprimer cette norme de gestion de services en AWS Control Tower désactivant tous les contrôles applicables à l'aide de l'une des méthodes suivantes :
+ AWS Control Tower console
+ AWS Control Tower API (appelez l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (exécutez la [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)commande)
La désactivation de tous les contrôles entraîne la suppression de la norme dans tous les comptes gérés et régions gouvernées dans. AWS Control Tower La suppression du standard dans le AWS Control Tower supprime de la page **Standards** de la console Security Hub CSPM, et vous ne pouvez plus y accéder à l'aide de l'API Security Hub CSPM ou. AWS CLI
**Note**
La désactivation de toutes les commandes de la norme dans Security Hub CSPM ne désactive ni ne supprime la norme.
La désactivation du service Security Hub CSPM supprime Service-Managed Standard : AWS Control Tower et toutes les autres normes que vous avez activées.
## Recherche du format de champ pour Service-Managed Standard : AWS Control Tower
Lorsque vous créez un Service Managed Standard AWS Control Tower et que vous activez les contrôles correspondants, vous commencez à recevoir les résultats des contrôles dans Security Hub CSPM. Security Hub CSPM publie les résultats des contrôles dans le. [AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md) Voici les valeurs ASFF pour le nom de ressource Amazon (ARN) de cette norme et `GeneratorId` :
+ **ARN standard** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`
Pour un exemple de recherche pour Service-Managed Standard : AWS Control Tower, voir. [Échantillons de résultats de contrôle](sample-control-findings.md)
## Contrôles applicables à la norme de gestion des services : AWS Control Tower
Norme gérée par les services : AWS Control Tower prend en charge un sous-ensemble de contrôles qui font partie de la norme FSBP ( AWS Foundational Security Best Practices). Choisissez un contrôle pour consulter les informations le concernant, y compris les étapes de correction en cas d'échec des résultats.
Pour savoir quels contrôles Security Hub CSPM sont pris en charge AWS Control Tower, vous pouvez utiliser l'une des méthodes suivantes :
+ AWS Console Control Catalog dans laquelle vous pouvez filtrer pour `“Control owner = AWS Security Hub”`
+ AWS API Control Catalog (appelez l'[https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) avec filtre `Implementations` pour `Types` vérifier si `AWS::SecurityHub::SecurityControl`
+ AWS CLI (exécutez la [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)commande) avec un filtre pour`Implementations`. Exemple de commande CLI :
`aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`
Les limites régionales des contrôles Security Hub CSPM lorsqu'ils sont activés via la norme Control Tower peuvent ne pas correspondre aux limites régionales des contrôles sous-jacents.
Dans Security Hub CSPM, si les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings) sont désactivés dans votre compte, le `ProductFields.ControlId` champ des résultats générés utilise l'ID de contrôle standard. **L'ID de contrôle standard est formaté au format CT. *ControlId***(par exemple, **CT. CodeBuild**.1).
Pour plus d'informations sur cette norme, consultez la section [Contrôles CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) dans le guide de l'*AWS Control Tower utilisateur*.
# Mise en place d'une norme de sécurité
Lorsque vous activez une norme de sécurité dans AWS Security Hub CSPM, Security Hub CSPM crée et active automatiquement tous les contrôles qui s'appliquent à la norme. Security Hub CSPM commence également à exécuter des contrôles de sécurité et à générer des résultats pour les contrôles.
Pour optimiser la couverture et la précision des résultats, activez et configurez l'enregistrement des ressources AWS Config avant d'activer une norme. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme. Pour de plus amples informations, veuillez consulter [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md).
Après avoir activé une norme, vous pouvez désactiver ou réactiver ultérieurement les contrôles individuels qui s'appliquent à la norme. Si vous désactivez un contrôle pour une norme, Security Hub CSPM arrête de générer des résultats pour le contrôle. En outre, Security Hub CSPM ignore le contrôle lorsqu'il calcule le score de sécurité pour la norme. Le score de sécurité est le pourcentage de contrôles ayant réussi l'évaluation, par rapport au nombre total de contrôles qui s'appliquent à la norme, sont activés et comportent des données d'évaluation.
Lorsque vous activez une norme, Security Hub CSPM génère un score de sécurité préliminaire pour la norme, généralement dans les 30 minutes suivant votre première visite sur la page **Résumé** ou sur les **normes de sécurité** de la console Security Hub CSPM. Les scores de sécurité sont générés uniquement pour les normes activées lorsque vous consultez ces pages sur la console. De plus, l'enregistrement des ressources doit être configuré AWS Config pour que les scores apparaissent. Dans les régions de Chine AWS GovCloud (US) Regions, jusqu'à 24 heures peuvent être nécessaires pour que Security Hub CSPM génère un score de sécurité préliminaire pour une norme. Une fois que Security Hub CSPM a généré un score préliminaire, il le met à jour toutes les 24 heures. Pour déterminer la date de dernière mise à jour d'un score de sécurité, vous pouvez vous référer à l'horodatage fourni par Security Hub CSPM pour le score. Pour de plus amples informations, veuillez consulter [Calcul des scores de sécurité](standards-security-score.md).
La manière dont vous activez une norme dépend de l'utilisation de la [configuration centralisée](central-configuration-intro.md) pour gérer Security Hub CSPM pour plusieurs comptes et. Régions AWS Nous vous recommandons d'utiliser une configuration centralisée si vous souhaitez activer les normes dans des environnements multicomptes et multirégionaux. Vous pouvez utiliser la configuration centralisée si vous intégrez Security Hub CSPM à. AWS Organizations Si vous n'utilisez pas la configuration centralisée, vous devez activer chaque norme séparément dans chaque compte et dans chaque région.
**Topics**
+ [Activation d'une norme dans plusieurs comptes et Régions AWS](#enable-standards-central-configuration)
+ [Activation d'une norme dans un seul compte et Région AWS](#securityhub-standard-enable-console)
+ [Vérifier le statut d'une norme](#standard-subscription-status)
## Activation d'une norme dans plusieurs comptes et Régions AWS
Pour activer et configurer une norme de sécurité pour plusieurs comptes Régions AWS, utilisez la [configuration centralisée](central-configuration-intro.md). Grâce à la configuration centralisée, l'administrateur délégué de Security Hub CSPM peut créer des politiques de configuration Security Hub CSPM qui permettent d'appliquer une ou plusieurs normes. L'administrateur peut ensuite associer une politique de configuration à des comptes individuels, à des unités organisationnelles (OUs) ou à la racine. Une politique de configuration affecte la région d'origine, également appelée *région d'agrégation*, et toutes les régions liées.
Les politiques de configuration proposent des options de personnalisation. Par exemple, vous pouvez choisir d'activer uniquement la norme AWS Foundational Security Best Practices (FSBP) pour une unité d'organisation. Pour une autre unité d'organisation, vous pouvez choisir d'activer à la fois la norme FSBP et la norme Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0. Pour plus d'informations sur la création d'une politique de configuration qui active les normes spécifiques que vous spécifiez, consultez[Création et association de politiques de configuration](create-associate-policy.md).
Si vous utilisez la configuration centralisée, Security Hub CSPM n'active aucune norme automatiquement dans les comptes nouveaux ou existants. Au lieu de cela, l'administrateur Security Hub CSPM indique les normes à activer dans les différents comptes lorsqu'il crée des politiques de configuration Security Hub CSPM pour son organisation. Security Hub CSPM propose une politique de configuration recommandée dans laquelle seule la norme FSBP est activée. Pour de plus amples informations, veuillez consulter [Types de politiques de configuration](configuration-policies-overview.md#policy-types).
**Note**
L'administrateur CSPM du Security Hub peut utiliser des politiques de configuration pour activer n'importe quelle norme, à l'exception de la norme gérée par les [AWS Control Tower services](service-managed-standard-aws-control-tower.md). Pour activer cette norme, l'administrateur doit utiliser AWS Control Tower directement. Ils doivent également AWS Control Tower activer ou désactiver les contrôles individuels dans cette norme pour un compte géré de manière centralisée.
Si vous souhaitez que certains comptes activent et configurent les normes pour leurs propres comptes, l'administrateur du Security Hub CSPM peut désigner ces comptes comme des comptes *autogérés*. Les comptes autogérés doivent activer et configurer les normes séparément dans chaque région.
## Activation d'une norme dans un seul compte et Région AWS
Si vous n'utilisez pas de configuration centralisée ou si vous possédez un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour activer de manière centralisée les normes de sécurité dans plusieurs comptes ou Régions AWS. Cependant, vous pouvez activer une norme dans un seul compte et dans une seule région. Vous pouvez le faire à l'aide de la console Security Hub CSPM ou de l'API Security Hub CSPM.
------
#### [ Security Hub CSPM console ]
Procédez comme suit pour activer une norme dans un compte et une région à l'aide de la console Security Hub CSPM.
**Pour activer une norme dans un compte et une région**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez activer la norme.
1. Dans le volet de navigation, sélectionnez **Normes de sécurité**. La page **Normes de sécurité** répertorie toutes les normes actuellement prises en charge par Security Hub CSPM. Si vous avez déjà activé une norme, la section relative à la norme inclut le score de sécurité actuel et des informations supplémentaires sur la norme.
1. Dans la section correspondant à la norme que vous souhaitez activer, sélectionnez **Activer la norme**.
Pour activer la norme dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.
------
#### [ Security Hub CSPM API ]
Pour activer une norme par programmation dans un seul compte et une seule région, utilisez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html)opération. Ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)commande.
Dans votre demande, utilisez le `StandardsArn` paramètre pour spécifier le nom de ressource Amazon (ARN) de la norme que vous souhaitez activer. Spécifiez également la région à laquelle s'applique votre demande. Par exemple, la commande suivante active la norme AWS Foundational Security Best Practices (FSBP) :
```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```
Où se *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** trouve l'ARN de la norme FSBP dans la région de l'*us-east-1*est des États-Unis (Virginie du Nord) et dans quelle région l'activer ?
Pour obtenir l'ARN d'une norme, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)opération ou, si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)commande.
Pour commencer par consulter la liste des normes actuellement activées dans votre compte, vous pouvez utiliser l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)opération. Si vous utilisez le AWS CLI, vous pouvez exécuter la [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)commande pour récupérer cette liste.
------
Après avoir activé une norme, Security Hub CSPM commence à effectuer des tâches pour activer la norme dans le compte et dans la région spécifiée. Cela inclut la création de tous les contrôles qui s'appliquent à la norme. Pour suivre l'état de ces tâches, vous pouvez vérifier l'état de la norme pour le compte et la région.
## Vérifier le statut d'une norme
Lorsque vous activez une norme de sécurité pour un compte, Security Hub CSPM commence à créer tous les contrôles qui s'appliquent à la norme dans le compte. Security Hub CSPM exécute également des tâches supplémentaires pour activer la norme pour le compte, telles que la génération d'un score de sécurité préliminaire pour la norme. Pendant que Security Hub CSPM exécute ces tâches, le statut de la norme est celui du *Pending*compte. Le statut de la norme passe ensuite par des états supplémentaires, que vous pouvez surveiller et vérifier.
**Note**
Les modifications apportées aux commandes individuelles d'une norme n'ont aucune incidence sur le statut général de la norme. Par exemple, si vous activez un contrôle que vous avez précédemment désactivé, votre modification n'affectera pas le statut de la norme. De même, si vous modifiez la valeur d'un paramètre pour un contrôle activé, votre modification n'affecte pas le statut de la norme.
Pour vérifier l'état d'une norme à l'aide de la console Security Hub CSPM, choisissez **Security standards** dans le volet de navigation. La page **Normes de sécurité** répertorie toutes les normes actuellement prises en charge par Security Hub CSPM. Si Security Hub CSPM exécute actuellement des tâches pour activer la norme, la section relative à la norme indique que Security Hub CSPM génère toujours un score de sécurité pour la norme. Si une norme est activée, la section correspondant à la norme inclut le score actuel. Choisissez **Afficher les résultats** pour consulter des informations supplémentaires, notamment l'état des contrôles individuels qui s'appliquent à la norme. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
Pour vérifier l'état d'une norme par programmation à l'aide de l'API Security Hub CSPM, utilisez l'opération. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) Dans votre demande, utilisez éventuellement le `StandardsSubscriptionArns` paramètre pour spécifier le nom de ressource Amazon (ARN) de la norme dont vous souhaitez vérifier le statut. Si vous utilisez le AWS Command Line Interface (AWS CLI), vous pouvez exécuter la [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)commande pour vérifier l'état d'une norme. Pour spécifier l'ARN de la norme à vérifier, utilisez le `standards-subscription-arns` paramètre. Pour déterminer l'ARN à spécifier, vous pouvez utiliser l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)opération ou, pour le AWS CLI, exécuter la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)commande.
Si votre demande aboutit, Security Hub CSPM répond avec un tableau d'objets. `StandardsSubscription` Un *abonnement standard* est une AWS ressource que Security Hub CSPM crée dans un compte lorsqu'une norme est activée pour ce compte. Chaque `StandardsSubscription` objet fournit des informations sur une norme actuellement activée ou en cours d'activation ou de désactivation pour le compte. Dans chaque objet, le `StandardsStatus` champ indique le statut actuel de la norme pour le compte.
Le statut d'une norme (`StandardsStatus`) peut être l'un des suivants.
**PENDING**
Security Hub CSPM exécute actuellement des tâches visant à activer la norme pour le compte. Cela inclut la création des contrôles qui s'appliquent à la norme et la génération d'un score de sécurité préliminaire pour la norme. L'exécution de toutes les tâches par Security Hub CSPM peut prendre plusieurs minutes. Une norme peut également avoir ce statut si elle est déjà activée pour le compte et si Security Hub CSPM ajoute actuellement de nouvelles commandes à la norme.
Si une norme possède ce statut, il se peut que vous ne puissiez pas récupérer les détails des contrôles individuels qui s'appliquent à la norme. En outre, il se peut que vous ne puissiez pas configurer ou désactiver les commandes individuelles pour la norme. Par exemple, si vous essayez de désactiver un contrôle en utilisant l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)opération, une erreur se produit.
Pour déterminer si vous pouvez configurer ou gérer des contrôles individuels pour la norme, reportez-vous à la valeur du `StandardsControlsUpdatable` champ. Si la valeur de ce champ est`READY_FOR_UPDATES`, vous pouvez commencer à gérer les contrôles individuels pour la norme. Sinon, attendez que Security Hub CSPM effectue des tâches de traitement supplémentaires pour activer la norme.
**READY**
La norme est actuellement activée pour le compte. Security Hub CSPM peut exécuter des contrôles de sécurité et générer des résultats pour tous les contrôles qui s'appliquent à la norme et sont actuellement activés. Security Hub CSPM peut également calculer un score de sécurité pour la norme.
Si une norme possède ce statut, vous pouvez récupérer les détails des contrôles individuels qui s'appliquent à la norme. En outre, vous pouvez configurer, désactiver ou réactiver les commandes. Vous pouvez également désactiver la norme.
**INCOMPLETE**
Security Hub CSPM n'a pas été en mesure d'activer complètement la norme pour le compte. Security Hub CSPM ne peut pas exécuter de contrôles de sécurité et générer des résultats pour tous les contrôles qui s'appliquent à la norme et sont actuellement activés. En outre, Security Hub CSPM ne peut pas calculer de score de sécurité pour la norme.
Pour déterminer pourquoi la norme n'a pas été complètement activée, reportez-vous aux informations du `StandardsStatusReason` tableau. Ce tableau indique les problèmes qui ont empêché Security Hub CSPM d'activer la norme. En cas d'erreur interne, réessayez d'activer la norme pour le compte. Pour les autres types de problèmes, [vérifiez vos AWS Config paramètres](securityhub-setup-prereqs.md). Vous pouvez également [désactiver les contrôles individuels](disable-controls-overview.md) que vous ne souhaitez pas vérifier, ou désactiver complètement la norme.
**DELETING**
Security Hub CSPM traite actuellement une demande de désactivation de la norme pour le compte. Cela inclut la désactivation des contrôles qui s'appliquent à la norme et la suppression du score de sécurité associé. Le traitement de la demande par Security Hub CSPM peut prendre plusieurs minutes.
Si une norme possède ce statut, vous ne pouvez pas la réactiver ou essayer de la désactiver à nouveau pour le compte. Security Hub CSPM doit d'abord terminer le traitement de la demande en cours. En outre, vous ne pouvez pas récupérer les détails des contrôles individuels qui s'appliquent à la norme ni gérer les contrôles.
**FAILED**
Security Hub CSPM n'a pas réussi à désactiver la norme pour le compte. Une ou plusieurs erreurs se sont produites lorsque Security Hub CSPM a tenté de désactiver la norme. En outre, Security Hub CSPM ne peut pas calculer de score de sécurité pour la norme.
Pour déterminer pourquoi la norme n'a pas été complètement désactivée, reportez-vous aux informations du `StandardsStatusReason` tableau. Ce tableau indique les problèmes qui ont empêché Security Hub CSPM de désactiver la norme.
Si une norme possède ce statut, vous ne pouvez pas récupérer les détails des contrôles individuels qui s'appliquent à la norme ni gérer les contrôles. Vous pouvez toutefois réactiver le standard pour le compte. Si vous résolvez les problèmes qui ont empêché Security Hub CSPM de désactiver la norme, vous pouvez également réessayer de la désactiver.
Si le statut d'une norme est tel`READY`, Security Hub CSPM exécute des contrôles de sécurité et génère des résultats pour tous les contrôles qui s'appliquent à la norme et sont actuellement activés. Pour les autres statuts, Security Hub CSPM peut effectuer des vérifications et générer des résultats pour certains contrôles activés, mais pas pour tous. La génération ou la mise à jour des résultats de contrôle peuvent prendre jusqu'à 24 heures. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
# Révision des détails d'une norme de sécurité
Après avoir activé une norme de sécurité dans AWS Security Hub CSPM, vous pouvez utiliser la console pour consulter les détails de la norme. Sur la console, la page de détails d'une norme inclut les informations suivantes :
+ Le score de sécurité actuel pour la norme.
+ Tableau des contrôles qui s'appliquent à la norme.
+ Statistiques agrégées pour les contrôles qui s'appliquent à la norme.
+ Un résumé visuel de l'état des contrôles qui s'appliquent à la norme.
+ Un résumé visuel des contrôles de sécurité pour les contrôles qui sont activés et s'appliquent à la norme. Si vous effectuez l'intégration avec AWS Organizations, les contrôles activés dans au moins un compte d'organisation sont considérés comme activés.
Pour consulter ces informations, sélectionnez **Normes de sécurité** dans le volet de navigation de la console. Ensuite, dans la section relative à la norme, choisissez **Afficher les résultats**. Pour une analyse plus approfondie, vous pouvez filtrer et trier les données, puis passer en revue les détails des contrôles individuels qui s'appliquent à la norme.
**Topics**
+ [Comprendre le score de sécurité standard](#standard-details-overview)
+ [Révision des contrôles d'une norme](#standard-controls-list)
## Comprendre le score de sécurité standard
Sur la console AWS Security Hub CSPM, la page de détails d'une norme affiche le score de sécurité de la norme. Le score est le pourcentage de contrôles ayant réussi l'évaluation, par rapport au nombre total de contrôles qui s'appliquent à la norme, sont activés et contiennent des données d'évaluation. Sous le score se trouve un tableau qui résume les contrôles de sécurité pour les contrôles activés dans le cadre de la norme. Cela inclut le nombre de contrôles de sécurité réussis et échoués. Pour les comptes d'administrateur, le score standard et le graphique sont agrégés entre le compte administrateur et tous les comptes membres. Pour examiner les contrôles de sécurité qui ont échoué pour détecter les contrôles présentant un niveau de gravité spécifique, choisissez le niveau de gravité.
Lorsque vous activez une norme, Security Hub CSPM génère un score de sécurité préliminaire pour la norme, généralement dans les 30 minutes suivant votre première visite sur la page de **résumé** ou sur la page des **normes de sécurité** de la console Security Hub CSPM. Les scores sont générés uniquement pour les normes activées lorsque vous visitez ces pages. En outre, l'enregistrement AWS Config des ressources doit être configuré pour que les scores apparaissent. Dans les régions de Chine AWS GovCloud (US) Regions, cela peut prendre jusqu'à 24 heures pour que Security Hub CSPM génère un score préliminaire. Une fois que Security Hub CSPM a généré un score préliminaire pour une norme, il le met à jour toutes les 24 heures. Pour de plus amples informations, veuillez consulter [Calcul des scores de sécurité](standards-security-score.md).
Toutes les données des pages détaillées des **normes de sécurité** sont spécifiques aux normes actuelles, Région AWS sauf si vous définissez une région d'agrégation. Si vous définissez une région d'agrégation, les scores de sécurité s'appliquent à toutes les régions et incluent les résultats pour toutes les régions liées. En outre, l'état de conformité des contrôles reflète les résultats des régions liées, et le nombre de contrôles de sécurité inclut les résultats des régions liées.
## Révision des contrôles d'une norme
Lorsque vous utilisez la console AWS Security Hub CSPM pour consulter les détails d'une norme que vous avez activée, vous pouvez consulter un tableau des contrôles de sécurité qui s'appliquent à la norme. Pour chaque contrôle, le tableau inclut les informations suivantes :
+ L'ID et le titre du contrôle.
+ État du contrôle. Pour de plus amples informations, veuillez consulter [Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md).
+ La sévérité attribuée au contrôle.
+ Le nombre de contrôles échoués et le nombre total de contrôles. Le cas échéant, le champ **Contrôles échoués** indique également le nombre de résultats dont le statut est **Inconnu**.
+ Si le contrôle prend en charge les paramètres personnalisés. Pour de plus amples informations, veuillez consulter [Comprendre les paramètres de contrôle dans Security Hub CSPM](custom-control-parameters.md).
Security Hub CSPM met à jour les statuts de contrôle et le nombre de contrôles de sécurité toutes les 24 heures. Un horodatage en haut de la page indique la date à laquelle Security Hub CSPM a mis à jour ces données pour la dernière fois.
Pour les comptes d'administrateur, les statuts de contrôle et le nombre de contrôles de sécurité sont agrégés entre le compte administrateur et tous les comptes membres. Le nombre de contrôles activés inclut les contrôles activés pour la norme dans le compte administrateur ou au moins un compte membre. Le nombre de contrôles désactivés inclut les contrôles qui sont désactivés pour le standard dans le compte administrateur et dans tous les comptes membres.
Vous pouvez filtrer le tableau des contrôles qui s'appliquent à la norme. À l'aide des options **Filtrer par** situées à côté du tableau, vous pouvez choisir de n'afficher que les commandes activées ou désactivées pour la norme. Si vous n'affichez que les commandes activées, vous pouvez filtrer davantage le tableau en fonction de l'état des commandes. Vous pouvez ensuite vous concentrer sur les contrôles dotés d'un statut de contrôle spécifique. Outre les options **Filtrer par**, vous pouvez saisir des critères de filtre dans la zone **Contrôles de filtrage**. Par exemple, vous pouvez filtrer par ID de contrôle ou par titre.
Choisissez votre méthode d'accès préférée. Suivez ensuite les étapes pour passer en revue les contrôles qui s'appliquent à une norme que vous avez activée.
------
#### [ Security Hub CSPM console ]
**Pour passer en revue les commandes d'une norme activée**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Choisissez **Normes de sécurité** dans le volet de navigation.
1. Dans la section relative à la norme, choisissez **Afficher les résultats**.
Le tableau au bas de la page répertorie tous les contrôles qui s'appliquent à la norme. Vous pouvez filtrer et trier le tableau. Vous pouvez également télécharger la page actuelle du tableau sous forme de fichier CSV. Pour ce faire, choisissez **Télécharger** au-dessus du tableau. Si vous filtrez le tableau, le fichier téléchargé inclut uniquement les commandes correspondant à vos paramètres de filtre actuels.
------
#### [ Security Hub CSPM API ]
**Pour passer en revue les commandes d'une norme activée**
1. Utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)commande.
Spécifiez le nom de ressource Amazon (ARN) de la norme pour laquelle vous souhaitez vérifier les contrôles. ARNs Pour obtenir des normes, utilisez l'[DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)opération ou exécutez la commande [describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html). Si vous ne spécifiez pas l'ARN d'une norme, Security Hub CSPM renvoie tous les contrôles de sécurité. IDs
1. Utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)fonctionnement de l'API Security Hub CSPM ou exécutez la [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)commande. Cette opération vous indique dans quelles normes un contrôle est activé.
Identifiez le contrôle en fournissant l'ID ou l'ARN du contrôle de sécurité. Les paramètres de pagination sont facultatifs.
L'exemple suivant indique les normes dans lesquelles le contrôle Config.1 est activé.
```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```
------
# Désactiver les normes de sécurité activées automatiquement
Si votre organisation n'utilise pas de configuration centralisée, elle utilise un type de configuration appelé *configuration locale*. Grâce à la configuration locale, AWS Security Hub CSPM peut activer automatiquement les normes de sécurité par défaut pour les nouveaux comptes membres lorsque ceux-ci rejoignent votre organisation. Toutes les commandes qui s'appliquent à ces normes par défaut sont également activées automatiquement.
Actuellement, les normes de sécurité par défaut sont la norme AWS Foundational Security Best Practices et la norme Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Pour plus d'informations sur ces normes, consultez le[Référence aux normes pour Security Hub CSPM](standards-reference.md).
Si vous préférez activer manuellement les normes de sécurité pour les nouveaux comptes membres, vous pouvez désactiver l'activation automatique des normes par défaut. Vous ne pouvez le faire que si vous intégrez AWS Organizations et utilisez la configuration locale. Si vous utilisez la configuration centralisée, vous pouvez plutôt créer une politique de configuration qui active les normes par défaut et associer la stratégie à la racine. Tous les comptes de votre organisation héritent OUs ensuite de cette politique de configuration, sauf s'ils sont associés à une autre stratégie ou s'ils sont autogérés. Si vous ne l'intégrez pas AWS Organizations, vous pouvez désactiver une norme par défaut lors de l'activation initiale de Security Hub CSPM ou ultérieurement. Pour savoir comment procéder, consultez [Désactiver une norme](disable-standards.md).
Pour désactiver l'activation automatique des normes par défaut pour les nouveaux comptes membres, vous pouvez utiliser la console Security Hub CSPM ou l'API Security Hub CSPM.
------
#### [ Security Hub CSPM console ]
Procédez comme suit pour désactiver l'activation automatique des normes par défaut à l'aide de la console Security Hub CSPM.
**Pour désactiver l'activation automatique des normes par défaut**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur.
1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Configuration**.
1. Dans la section **Vue d'ensemble**, choisissez **Modifier**.
1. Sous **Paramètres du nouveau compte**, décochez la case **Activer les normes de sécurité par défaut**.
1. Choisissez **Confirmer**.
------
#### [ Security Hub CSPM API ]
Pour désactiver l'activation automatique des normes par défaut par programmation, utilisez l'API Security Hub CSPM depuis [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)le compte administrateur Security Hub CSPM. Dans votre demande, spécifiez `NONE` le `AutoEnableStandards` paramètre.
Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)commande pour désactiver l'activation automatique des normes par défaut. Pour le paramètre `auto-enable-standards`, spécifiez `NONE`. Par exemple, la commande suivante active automatiquement le Security Hub CSPM pour les nouveaux comptes membres et désactive l'activation automatique des normes par défaut pour les comptes.
```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```
------
# Désactivation d'une norme de sécurité
Lorsque vous désactivez une norme de sécurité dans AWS Security Hub CSPM, les événements suivants se produisent :
+ Toutes les commandes qui s'appliquent à la norme sont désactivées, sauf si elles sont associées à une autre norme actuellement activée.
+ Les contrôles de sécurité pour les contrôles désactivés ne sont plus effectués et aucun résultat supplémentaire n'est généré pour les contrôles désactivés.
+ Les résultats existants concernant les commandes désactivées sont archivés automatiquement après environ 3 à 5 jours.
+ AWS Config les règles créées par Security Hub CSPM pour les contrôles désactivés sont supprimées.
La suppression des AWS Config règles appropriées intervient généralement quelques minutes après la désactivation d'une norme. Toutefois, cela peut prendre plus de temps. Si la première demande ne parvient pas à supprimer les règles, Security Hub CSPM réessaie toutes les 12 heures. Toutefois, si vous avez désactivé Security Hub CSPM ou si aucune autre norme n'est activée, Security Hub CSPM ne peut pas réessayer, ce qui signifie qu'il ne peut pas supprimer les règles. Si cela se produit et que vous devez supprimer les règles, contactez AWS Support.
**Topics**
+ [Désactiver une norme dans plusieurs comptes et Régions AWS](#disable-standards-central-configuration)
+ [Désactiver une norme dans un seul compte et Région AWS](#securityhub-standard-disable-console)
## Désactiver une norme dans plusieurs comptes et Régions AWS
Pour désactiver une norme de sécurité sur plusieurs comptes Régions AWS, utilisez la [configuration centralisée](central-configuration-intro.md). Grâce à la configuration centralisée, l'administrateur délégué de Security Hub CSPM peut créer des politiques de configuration Security Hub CSPM qui désactivent une ou plusieurs normes. L'administrateur peut ensuite associer une politique de configuration à des comptes individuels, à des unités organisationnelles (OUs) ou à la racine. Une politique de configuration affecte la région d'origine, également appelée *région d'agrégation*, et toutes les régions liées.
Les politiques de configuration proposent des options de personnalisation. Par exemple, vous pouvez choisir de désactiver la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) dans une unité d'organisation. Pour une autre unité d'organisation, vous pouvez choisir de désactiver à la fois la norme PCI DSS et la norme SP 800-53 Rev. 5 du National Institute of Standards and Technology (NIST). Pour plus d'informations sur la création d'une politique de configuration qui active ou désactive les normes individuelles que vous spécifiez, consultez[Création et association de politiques de configuration](create-associate-policy.md).
**Note**
L'administrateur CSPM du Security Hub peut utiliser des politiques de configuration pour désactiver n'importe quelle norme, à l'exception de la norme gérée par les [AWS Control Tower services](service-managed-standard-aws-control-tower.md). Pour désactiver cette norme, l'administrateur doit utiliser AWS Control Tower directement. Ils doivent également utiliser AWS Control Tower pour désactiver ou activer les contrôles individuels dans cette norme pour un compte géré de manière centralisée.
Si vous souhaitez que certains comptes configurent ou désactivent les normes pour leurs propres comptes, l'administrateur du Security Hub CSPM peut désigner ces comptes comme des comptes *autogérés*. Les comptes autogérés doivent désactiver les normes séparément dans chaque région.
## Désactiver une norme dans un seul compte et Région AWS
Si vous n'utilisez pas de configuration centralisée ou si vous possédez un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour désactiver de manière centralisée les normes de sécurité dans plusieurs comptes ou Régions AWS. Cependant, vous pouvez désactiver une norme dans un seul compte et dans une seule région. Vous pouvez le faire à l'aide de la console Security Hub CSPM ou de l'API Security Hub CSPM.
------
#### [ Security Hub CSPM console ]
Procédez comme suit pour désactiver une norme dans un compte et une région à l'aide de la console Security Hub CSPM.
**Pour désactiver une norme dans un compte et une région**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, choisissez la région dans laquelle vous souhaitez désactiver la norme.
1. Dans le volet de navigation, sélectionnez **Normes de sécurité**.
1. Dans la section correspondant à la norme que vous souhaitez désactiver, choisissez **Désactiver la norme**.
Pour désactiver la norme dans d'autres régions, répétez les étapes précédentes dans chaque région supplémentaire.
------
#### [ Security Hub CSPM API ]
Pour désactiver une norme par programmation dans un seul compte et une seule région, utilisez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html)opération. Ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)commande.
Dans votre demande, utilisez le `StandardsSubscriptionArns` paramètre pour spécifier le nom de ressource Amazon (ARN) de la norme que vous souhaitez désactiver. Si vous utilisez le AWS CLI, utilisez le `standards-subscription-arns` paramètre pour spécifier l'ARN. Spécifiez également la région à laquelle s'applique votre demande. Par exemple, la commande suivante désactive la norme FSBP ( AWS Foundational Security Best Practices) pour un compte () : *123456789012*
```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```
Où se *arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* trouve l'ARN de la norme FSBP pour le compte dans la région USA Est (Virginie du Nord) et *us-east-1* dans quelle région le désactiver ?
Pour obtenir l'ARN d'une norme, vous pouvez utiliser l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)opération. Cette opération permet de récupérer des informations sur les normes actuellement activées dans votre compte. Si vous utilisez le AWS CLI, vous pouvez exécuter la [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)commande pour récupérer ces informations.
------
Après avoir désactivé une norme, Security Hub CSPM commence à effectuer des tâches pour désactiver la norme dans le compte et dans la région spécifiée. Cela inclut la désactivation de toutes les commandes qui s'appliquent à la norme. Pour suivre l'état de ces tâches, vous pouvez [vérifier l'état de la norme](enable-standards.md#standard-subscription-status) pour le compte et la région.
# Comprendre les contrôles de sécurité dans Security Hub CSPM
Dans AWS Security Hub CSPM, un contrôle de *sécurité, également appelé *contrôle**, est une mesure de protection dans le cadre d'une norme de sécurité qui aide une entreprise à protéger la confidentialité, l'intégrité et la disponibilité de ses informations. Dans Security Hub CSPM, un contrôle est lié à une ressource spécifique AWS .
Lorsque vous activez un contrôle dans une ou plusieurs normes, Security Hub CSPM commence à effectuer des contrôles de sécurité sur celui-ci. Les contrôles de sécurité aboutissent aux conclusions du Security Hub CSPM. Lorsque vous désactivez un contrôle, Security Hub CSPM arrête d'exécuter les contrôles de sécurité sur celui-ci et les résultats ne sont plus générés.
Vous pouvez activer ou désactiver les contrôles individuellement pour un seul compte et Région AWS. Pour gagner du temps et réduire les variations de configuration dans les environnements multicomptes, nous vous recommandons d'utiliser une [configuration centralisée](central-configuration-intro.md) pour activer ou désactiver les contrôles. Grâce à la configuration centralisée, l'administrateur délégué du Security Hub CSPM peut créer des politiques qui spécifient la manière dont un contrôle doit être configuré sur plusieurs comptes et régions. Pour plus d'informations sur l'activation et la désactivation des contrôles, consultez[Activation des contrôles dans Security Hub CSPM](securityhub-standards-enable-disable-controls.md).
## Vue consolidée des contrôles
La page **Contrôles** de la console Security Hub CSPM affiche tous les contrôles actuellement disponibles Région AWS (vous pouvez afficher les contrôles dans le contexte d'une norme en vous rendant sur la page des **normes de sécurité** et en choisissant une norme activée). Security Hub CSPM attribue aux contrôles un identifiant, un titre et une description de contrôle de sécurité cohérents selon les normes. IDs Les contrôles incluent le numéro pertinent Service AWS et un numéro unique (par exemple, CodeBuild .3).
Les informations suivantes sont disponibles sur la page **Contrôles** de la console [Security Hub CSPM](https://console.aws.amazon.com/securityhub/) :
+ Un score de sécurité global basé sur la proportion de contrôles réussis par rapport au nombre total de contrôles activés avec des données
+ Répartition des statuts de contrôle entre tous les contrôles Security Hub CSPM pris en charge
+ Nombre total de contrôles de sécurité réussis et échoués.
+ Le nombre de contrôles de sécurité échoués pour des contrôles de gravité variable, ainsi que des liens permettant d'afficher plus de détails sur ces contrôles échoués.
+ Liste des contrôles Security Hub CSPM, avec des filtres permettant d'afficher des sous-ensembles spécifiques de contrôles.
Sur la page **Contrôles**, vous pouvez choisir un contrôle pour en afficher les détails et prendre des mesures en fonction des résultats générés par le contrôle. À partir de cette page, vous pouvez également activer ou désactiver un contrôle de sécurité dans votre Compte AWS et Région AWS. Les actions d'activation et de désactivation de la page **Contrôles** s'appliquent à toutes les normes. Pour de plus amples informations, veuillez consulter [Activation des contrôles dans Security Hub CSPM](securityhub-standards-enable-disable-controls.md).
Pour les comptes d'administrateur, la page **Contrôles** reflète l'état des contrôles sur les comptes des membres. Si une vérification de contrôle échoue dans au moins un compte membre, le statut du contrôle est **Échoué**. Si vous avez défini une [région d'agrégation](finding-aggregation.md), la page **Contrôles** reflète l'état des contrôles dans toutes les régions liées. Si une vérification de contrôle échoue dans au moins une région liée, le statut du contrôle est **Échoué**.
La vue consolidée des contrôles entraîne des modifications des champs de recherche de contrôle au format ASFF ( AWS Security Finding Format), ce qui peut affecter les flux de travail. Pour de plus amples informations, veuillez consulter [Vue consolidée des contrôles — modifications apportées à l'ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view).
## Note de sécurité récapitulative pour les contrôles
La page **Contrôles** affiche un score de sécurité récapitulatif compris entre 0 et 100 %. Le score de sécurité récapitulatif est calculé en fonction de la proportion de contrôles réussis par rapport au nombre total de contrôles activés avec des données issues de toutes les normes.
**Note**
Pour consulter le score de sécurité global des contrôles, vous devez ajouter l'autorisation d'**`BatchGetControlEvaluations`**appeler le rôle IAM que vous utilisez pour accéder au Security Hub CSPM. Cette autorisation n'est pas requise pour consulter les scores de sécurité relatifs à des normes spécifiques.
Lorsque vous activez Security Hub CSPM, Security Hub CSPM calcule le score de sécurité initial dans les 30 minutes suivant votre première visite sur la page de **résumé** ou sur la page des **normes de sécurité de la console Security** Hub CSPM. Jusqu'à 24 heures peuvent être nécessaires pour générer des scores de sécurité pour la première fois dans les régions de Chine et AWS GovCloud (US) Regions.
Outre le score de sécurité global, Security Hub CSPM calcule un score de sécurité standard pour chaque norme activée dans les 30 minutes suivant votre première visite sur la page de **résumé** ou sur la page des normes de **sécurité**. Pour afficher la liste des normes actuellement activées, utilisez l'opération [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)API.
AWS Config doit être activé avec l'enregistrement des ressources pour que les scores apparaissent. Pour plus d'informations sur la façon dont Security Hub CSPM calcule les scores de sécurité, consultez. [Calcul des scores de sécurité](standards-security-score.md)
Après la première génération de scores, Security Hub CSPM met à jour les scores de sécurité toutes les 24 heures. Security Hub CSPM affiche un horodatage pour indiquer la date de dernière mise à jour d'un score de sécurité.
Si vous avez défini une région d'agrégation, le score de sécurité global reflète les résultats des contrôles effectués dans les régions liées.
# Référence de contrôle pour Security Hub CSPM
Cette référence de contrôle fournit un tableau des contrôles AWS Security Hub CSPM disponibles avec des liens vers des informations supplémentaires sur chaque contrôle. Dans le tableau, les contrôles sont répertoriés par ordre alphabétique par ID de contrôle. Seuls les contrôles utilisés activement par Security Hub CSPM sont inclus ici. Les contrôles retirés sont exclus du tableau.
Le tableau fournit les informations suivantes pour chaque contrôle :
+ **ID de contrôle de sécurité** — Cet identifiant s'applique à toutes les normes et indique la ressource Service AWS et les ressources auxquelles le contrôle se rapporte. La console Security Hub CSPM affiche le contrôle de sécurité IDs, que les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings) soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub CSPM font référence au contrôle de sécurité IDs uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains contrôles IDs varient d'une norme à l'autre en ce qui concerne vos résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécurité IDs, voir. [L'impact de la consolidation sur le contrôle IDs et les titres](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
Si vous souhaitez configurer [des automatisations pour les](automations.md) contrôles de sécurité, nous vous recommandons de filtrer en fonction de l'ID du contrôle plutôt que du titre ou de la description. Alors que Security Hub CSPM peut parfois mettre à jour les titres ou les descriptions des contrôles, le contrôle IDs reste le même.
IDs Le contrôle peut ignorer des chiffres. Il s'agit d'espaces réservés pour les futurs contrôles.
+ **Titre du contrôle de sécurité** — Ce titre s'applique à toutes les normes. La console Security Hub CSPM affiche les titres des contrôles de sécurité, que les résultats de contrôle consolidés soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub CSPM font référence aux titres des contrôles de sécurité uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains titres de contrôle varient selon les normes en termes de résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécurité IDs, voir. [L'impact de la consolidation sur le contrôle IDs et les titres](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Normes applicables** — Indique à quelles normes s'applique un contrôle. Choisissez un contrôle pour examiner les exigences spécifiques des cadres de conformité tiers.
+ **Gravité** — La sévérité d'un contrôle identifie son importance du point de vue de la sécurité. Pour plus d'informations sur la manière dont Security Hub CSPM détermine la sévérité des contrôles, consultez. [Niveaux de gravité des résultats de contrôle](controls-findings-create-update.md#control-findings-severity)
+ **Prend en charge les paramètres personnalisés** : indique si le contrôle prend en charge les valeurs personnalisées pour un ou plusieurs paramètres. Choisissez un contrôle pour consulter les détails des paramètres. Pour de plus amples informations, veuillez consulter [Comprendre les paramètres de contrôle dans Security Hub CSPM](custom-control-parameters.md).
+ **Type de planification** — Indique à quel moment le contrôle est évalué. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
Choisissez un contrôle pour consulter des informations supplémentaires. Les contrôles sont répertoriés par ordre alphabétique par numéro de contrôle de sécurité.
| ID de contrôle de sécurité | Titre du contrôle de sécurité | Normes applicables | Sévérité | Supporte les paramètres personnalisés | Type de calendrier |
| --- | --- | --- | --- | --- | --- |
| [Account.1](account-controls.md#account-1) | Les coordonnées de sécurité doivent être fournies pour Compte AWS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de base v1.0.0 AWS , NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Compte.2](account-controls.md#account-2) | Compte AWS doit faire partie d'une AWS Organizations organisation | NIST SP 800-53 Rév. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ACM.1](acm-controls.md#acm-1) | Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché et périodique |
| [ACM.2](acm-controls.md#acm-2) | Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ACM.3](acm-controls.md#acm-3) | Les certificats ACM doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Amplifier.1](amplify-controls.md#amplify-1) | Les applications Amplify doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Amplifier.2](amplify-controls.md#amplify-2) | Les branches Amplify doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [APIGateway1](apigateway-controls.md#apigateway-1). | API Gateway REST et la journalisation de l'exécution de l' WebSocket API doivent être activées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [APIGateway2.](apigateway-controls.md#apigateway-2) | Les étapes de l'API REST d'API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway3.](apigateway-controls.md#apigateway-3) | Le AWS X-Ray suivi des étapes de l'API REST d'API Gateway doit être activé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway4.](apigateway-controls.md#apigateway-4) | L'API Gateway doit être associée à une ACL Web WAF | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway5.](apigateway-controls.md#apigateway-5) | Les données du cache de l'API REST API Gateway doivent être chiffrées au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway8.](apigateway-controls.md#apigateway-8) | Les routes API Gateway doivent spécifier un type d'autorisation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [APIGateway9.](apigateway-controls.md#apigateway-9) | La journalisation des accès doit être configurée pour les étapes API Gateway V2 | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [APIGateway.10](apigateway-controls.md#apigateway-10) | Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AppConfig1](appconfig-controls.md#appconfig-1). | AWS AppConfig les applications doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppConfig2.](appconfig-controls.md#appconfig-2) | AWS AppConfig les profils de configuration doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppConfig3.](appconfig-controls.md#appconfig-3) | AWS AppConfig les environnements doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppConfig4.](appconfig-controls.md#appconfig-4) | AWS AppConfig les associations d'extensions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppFlow1](appflow-controls.md#appflow-1). | AppFlow Les flux Amazon doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppRunner1](apprunner-controls.md#apprunner-1). | Les services App Runner doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppRunner2.](apprunner-controls.md#apprunner-2) | Les connecteurs VPC App Runner doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppSync2.](appsync-controls.md#appsync-2) | AWS AppSync la journalisation au niveau du champ doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppSync4.](appsync-controls.md#appsync-4) | AWS AppSync GraphQL APIs doit être balisé | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AppSync5.](appsync-controls.md#appsync-5) | AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Athéna.2](athena-controls.md#athena-2) | Les catalogues de données Athena doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Athéna.3](athena-controls.md#athena-3) | Les groupes de travail Athena doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Athéna.4](athena-controls.md#athena-4) | La journalisation des groupes de travail Athena doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling1](autoscaling-controls.md#autoscaling-1). | Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB | AWS Bonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling2.](autoscaling-controls.md#autoscaling-2) | Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [AutoScaling3.](autoscaling-controls.md#autoscaling-3) | Les configurations de lancement du groupe Auto Scaling doivent configurer les instances EC2 pour qu'elles nécessitent la version 2 du service de métadonnées d'instance () IMDSv2 | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Autoscaling.5](autoscaling-controls.md#autoscaling-5) | Les instances Amazon EC2 lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling6.](autoscaling-controls.md#autoscaling-6) | Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling9.](autoscaling-controls.md#autoscaling-9) | Les groupes EC2 Auto Scaling doivent utiliser des modèles de lancement EC2 | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [AutoScaling.10](autoscaling-controls.md#autoscaling-10) | Les groupes EC2 Auto Scaling doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Sauvegarde.1](backup-controls.md#backup-1) | AWS Backup les points de récupération doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Sauvegarde.2](backup-controls.md#backup-2) | AWS Backup les points de récupération doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Sauvegarde.3](backup-controls.md#backup-3) | AWS Backup les coffres-forts doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Sauvegarde.4](backup-controls.md#backup-4) | AWS Backup les plans de rapport doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Sauvegarde.5](backup-controls.md#backup-5) | AWS Backup les plans de sauvegarde doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lot 1](batch-controls.md#batch-1) | Les files d'attente de tâches par lots doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lot 2](batch-controls.md#batch-2) | Les politiques de planification par lots doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lot 3](batch-controls.md#batch-3) | Les environnements de calcul par lots doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lot 4](batch-controls.md#batch-4) | Les propriétés des ressources de calcul dans les environnements de calcul Batch gérés doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudFormation2.](cloudformation-controls.md#cloudformation-2) | CloudFormation les piles doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudFormation3.](cloudformation-controls.md#cloudformation-3) | CloudFormation la protection des terminaisons doit être activée pour les piles | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFormation4.](cloudformation-controls.md#cloudformation-4) | CloudFormation les piles doivent avoir des rôles de service associés | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront1](cloudfront-controls.md#cloudfront-1). | CloudFront les distributions doivent avoir un objet racine par défaut configuré | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront3.](cloudfront-controls.md#cloudfront-3) | CloudFront les distributions devraient nécessiter un chiffrement pendant le transit | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront4.](cloudfront-controls.md#cloudfront-4) | CloudFront le basculement d'origine doit être configuré pour les distributions | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront5.](cloudfront-controls.md#cloudfront-5) | CloudFront la journalisation des distributions doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront6.](cloudfront-controls.md#cloudfront-6) | CloudFront le WAF doit être activé sur les distributions | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront7.](cloudfront-controls.md#cloudfront-7) | CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront8.](cloudfront-controls.md#cloudfront-8) | CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront9.](cloudfront-controls.md#cloudfront-9) | CloudFront les distributions doivent chiffrer le trafic vers des origines personnalisées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.10](cloudfront-controls.md#cloudfront-10) | CloudFront les distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.12](cloudfront-controls.md#cloudfront-12) | CloudFront les distributions ne doivent pas pointer vers des origines S3 inexistantes | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudFront.13](cloudfront-controls.md#cloudfront-13) | CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.14](cloudfront-controls.md#cloudfront-14) | CloudFront les distributions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudFront.15](cloudfront-controls.md#cloudfront-15) | CloudFront les distributions doivent utiliser la politique de sécurité TLS recommandée | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.16](cloudfront-controls.md#cloudfront-16) | CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL de la fonction Lambda | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudFront.17](cloudfront-controls.md#cloudfront-17) | CloudFront les distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CloudTrail1](cloudtrail-controls.md#cloudtrail-1). | CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures AWS pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail2.](cloudtrail-controls.md#cloudtrail-2) | CloudTrail le chiffrement au repos doit être activé | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS AWS Foundations Benchmark v1.4.0 AWS Fondational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail3.](cloudtrail-controls.md#cloudtrail-3) | Au moins une CloudTrail piste doit être activée | NIST SP 800-171 Rév. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail4.](cloudtrail-controls.md#cloudtrail-4) | CloudTrail la validation du fichier journal doit être activée | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 AWS | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail5.](cloudtrail-controls.md#cloudtrail-5) | CloudTrail les sentiers doivent être intégrés à Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail6.](cloudtrail-controls.md#cloudtrail-6) | Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public | Benchmark CIS AWS Foundations v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [CloudTrail7.](cloudtrail-controls.md#cloudtrail-7) | Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudTrail9.](cloudtrail-controls.md#cloudtrail-9) | CloudTrail les sentiers doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10) | CloudTrail Les magasins de données sur les événements de Lake doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [CloudWatch1](cloudwatch-controls.md#cloudwatch-1). | Un journal, un filtre métrique et une alarme doivent exister pour l'utilisation de l'utilisateur « root » | Benchmark CIS AWS Foundations v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch2.](cloudwatch-controls.md#cloudwatch-2) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les appels d'API non autorisés | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch3.](cloudwatch-controls.md#cloudwatch-3) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour la connexion à la console de gestion sans MFA | Benchmark CIS AWS Foundations v1.2.0 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch4.](cloudwatch-controls.md#cloudwatch-4) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique IAM | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch5.](cloudwatch-controls.md#cloudwatch-5) | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications CloudTrail de configuration | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch6.](cloudwatch-controls.md#cloudwatch-6) | Assurez-vous qu'un journal, un filtre métrique et une alarme existent en cas AWS Management Console d'échec d'authentification | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch7.](cloudwatch-controls.md#cloudwatch-7) | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des fichiers créés par le client CMKs | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch8.](cloudwatch-controls.md#cloudwatch-8) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique de compartiment S3 | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch9.](cloudwatch-controls.md#cloudwatch-9) | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications AWS Config de configuration | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des groupes de sécurité | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des listes de contrôle d'accès réseau (ACL réseau) | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des passerelles réseau | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des tables de routage | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14) | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications VPC | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15) | CloudWatch les alarmes doivent avoir des actions spécifiées configurées | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CloudWatch.16](cloudwatch-controls.md#cloudwatch-16) | CloudWatch les groupes de journaux doivent être conservés pendant une période spécifiée | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17) | CloudWatch les actions d'alarme doivent être activées | NIST SP 800-53 Rév. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeArtifact1](codeartifact-controls.md#codeartifact-1). | CodeArtifact les référentiels doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CodeBuild1](codebuild-controls.md#codebuild-1). | CodeBuild Le référentiel source de Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeBuild2.](codebuild-controls.md#codebuild-2) | CodeBuild les variables d'environnement du projet ne doivent pas contenir d'informations d'identification en texte clair | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeBuild3.](codebuild-controls.md#codebuild-3) | CodeBuild Les journaux S3 doivent être chiffrés | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeBuild4.](codebuild-controls.md#codebuild-4) | CodeBuild les environnements de projet doivent avoir une configuration de journalisation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeBuild7.](codebuild-controls.md#codebuild-7) | CodeBuild les exportations de groupes de rapports doivent être cryptées au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1). | CodeGuru Les groupes de profilage doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1). | CodeGuru Les associations de référentiels des réviseurs doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Cognito.1](cognito-controls.md#cognito-1) | Les groupes d'utilisateurs de Cognito doivent avoir la protection contre les menaces activée avec le mode d'application complet pour l'authentification standard | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Cognito 2](cognito-controls.md#cognito-2) | Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Cognito 3](cognito-controls.md#cognito-3) | Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être configurées de manière stricte | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Cognito .4](cognito-controls.md#cognito-4) | Les groupes d'utilisateurs de Cognito doivent avoir la protection contre les menaces activée avec le mode d'application complet pour une authentification personnalisée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Cognito 5](cognito-controls.md#cognito-5) | La MFA doit être activée pour les groupes d'utilisateurs de Cognito | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Cognito 6](cognito-controls.md#cognito-6) | La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Config.1](config-controls.md#config-1) | AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS | CRITIQUE | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [Connecter 1](connect-controls.md#connect-1) | Les types d'objets des profils clients Amazon Connect doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Connecter 2](connect-controls.md#connect-2) | La CloudWatch journalisation des instances Amazon Connect doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DataFirehose1](datafirehose-controls.md#datafirehose-1). | Les flux de diffusion de Firehose doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [DataSync1](datasync-controls.md#datasync-1). | DataSync la journalisation des tâches doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DataSync2.](datasync-controls.md#datasync-2) | DataSync les tâches doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Détective 1](detective-controls.md#detective-1) | Les graphes de comportement des détectives doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.1](dms-controls.md#dms-1) | Les instances de réplication du Database Migration Service ne doivent pas être publiques | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [DMS.2](dms-controls.md#dms-2) | Les certificats DMS doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.3](dms-controls.md#dms-3) | Les abonnements aux événements DMS doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.4](dms-controls.md#dms-4) | Les instances de réplication DMS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.5](dms-controls.md#dms-5) | Les groupes de sous-réseaux de réplication DMS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [DMS.6](dms-controls.md#dms-6) | La mise à niveau automatique des versions mineures des instances de réplication DMS doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.7](dms-controls.md#dms-7) | La journalisation des tâches de réplication DMS pour la base de données cible doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.8](dms-controls.md#dms-8) | La journalisation des tâches de réplication DMS pour la base de données source doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.9](dms-controls.md#dms-9) | Les points de terminaison DMS doivent utiliser le protocole SSL | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS 10](dms-controls.md#dms-10) | Les points de terminaison DMS pour les bases de données Neptune doivent avoir l'autorisation IAM activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.11](dms-controls.md#dms-11) | Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.12](dms-controls.md#dms-12) | TLS doit être activé sur les points de terminaison DMS pour Redis OSS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DMS.13](dms-controls.md#dms-13) | Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.1](documentdb-controls.md#documentdb-1) | Les clusters Amazon DocumentDB doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.2](documentdb-controls.md#documentdb-2) | Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Document DB.3](documentdb-controls.md#documentdb-3) | Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.4](documentdb-controls.md#documentdb-4) | Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.5](documentdb-controls.md#documentdb-5) | La protection contre la suppression des clusters Amazon DocumentDB doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Document DB.6](documentdb-controls.md#documentdb-6) | Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [DynamoDB.1](dynamodb-controls.md#dynamodb-1) | Les tables DynamoDB doivent automatiquement adapter la capacité à la demande | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [DynamoDB.2](dynamodb-controls.md#dynamodb-2) | La restauration des tables DynamoDB doit être activée point-in-time | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [DynamoDB.3](dynamodb-controls.md#dynamodb-3) | Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Dynamo DB.4](dynamodb-controls.md#dynamodb-4) | Les tables DynamoDB doivent être présentes dans un plan de sauvegarde | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [Dynamo DB.5](dynamodb-controls.md#dynamodb-5) | Les tables DynamoDB doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Dynamo DB.6](dynamodb-controls.md#dynamodb-6) | La protection contre la suppression des tables DynamoDB doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Dynamo DB.7](dynamodb-controls.md#dynamodb-7) | Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.1](ec2-controls.md#ec2-1) | Les instantanés EBS ne doivent pas être restaurables publiquement | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.2](ec2-controls.md#ec2-2) | Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.3](ec2-controls.md#ec2-3) | Les volumes EBS attachés doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.4](ec2-controls.md#ec2-4) | Les instances EC2 arrêtées doivent être supprimées après une période spécifiée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2.6](ec2-controls.md#ec2-6) | La journalisation des flux VPC doit être activée dans tous VPCs | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP AWS 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.7](ec2-controls.md#ec2-7) | Le chiffrement par défaut EBS doit être activé | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de base v1.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.8](ec2-controls.md#ec2-8) | Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.9](ec2-controls.md#ec2-9) | Les instances EC2 ne doivent pas avoir d'adresse publique IPv4 | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.10](ec2-controls.md#ec2-10) | Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2 | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2,12](ec2-controls.md#ec2-12) | L'EC2 non utilisé EIPs doit être retiré | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.13](ec2-controls.md#ec2-13) | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rév. 5, NIST SP 800-171 Rév. 2 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [EC2.14](ec2-controls.md#ec2-14) | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [EC2.15](ec2-controls.md#ec2-15) | Les sous-réseaux EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.16](ec2-controls.md#ec2-16) | Les listes de contrôle d'accès réseau non utilisées doivent être supprimées | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.17](ec2-controls.md#ec2-17) | Les instances EC2 ne doivent pas utiliser plusieurs ENIs | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.18](ec2-controls.md#ec2-18) | Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2.19](ec2-controls.md#ec2-19) | Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [EC2.20](ec2-controls.md#ec2-20) | Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.21](ec2-controls.md#ec2-21) | ACLs Le réseau ne doit pas autoriser l'entrée de 0.0.0.0/0 vers le port 22 ou le port 3389 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.22](ec2-controls.md#ec2-22) | Les groupes de sécurité EC2 non utilisés doivent être supprimés | | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2.23](ec2-controls.md#ec2-23) | Les passerelles de transit EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.24](ec2-controls.md#ec2-24) | Les types d'instances paravirtuelles EC2 ne doivent pas être utilisés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.25](ec2-controls.md#ec2-25) | Les modèles de lancement EC2 ne doivent pas attribuer de public IPs aux interfaces réseau | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2,28](ec2-controls.md#ec2-28) | Les volumes EBS doivent être inclus dans un plan de sauvegarde | NIST SP 800-53 Rév. 5 | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,33](ec2-controls.md#ec2-33) | Les pièces jointes à la passerelle de transit EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,34](ec2-controls.md#ec2-34) | Les tables de routage de la passerelle de transit EC2 doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,35](ec2-controls.md#ec2-35) | Les interfaces réseau EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,36](ec2-controls.md#ec2-36) | Les passerelles client EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,37](ec2-controls.md#ec2-37) | Les adresses IP Elastic EC2 doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,38](ec2-controls.md#ec2-38) | Les instances EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2.39](ec2-controls.md#ec2-39) | Les passerelles Internet EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,40](ec2-controls.md#ec2-40) | Les passerelles NAT EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2.41](ec2-controls.md#ec2-41) | Le réseau EC2 ACLs doit être étiqueté | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,42](ec2-controls.md#ec2-42) | Les tables de routage EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,43](ec2-controls.md#ec2-43) | Les groupes de sécurité EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,44](ec2-controls.md#ec2-44) | Les sous-réseaux EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,45](ec2-controls.md#ec2-45) | Les volumes EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,46](ec2-controls.md#ec2-46) | Amazon VPCs doit être tagué | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,47](ec2-controls.md#ec2-47) | Les services de point de terminaison Amazon VPC doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,48](ec2-controls.md#ec2-48) | Les journaux de flux Amazon VPC doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,49](ec2-controls.md#ec2-49) | Les connexions d'appairage Amazon VPC doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,50](ec2-controls.md#ec2-50) | Les passerelles VPN EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,51](ec2-controls.md#ec2-51) | La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2 | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2,52](ec2-controls.md#ec2-52) | Les passerelles de transit EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,53](ec2-controls.md#ec2-53) | Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2,54](ec2-controls.md#ec2-54) | Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EC2,55](ec2-controls.md#ec2-55) | VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,56](ec2-controls.md#ec2-56) | VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,57](ec2-controls.md#ec2-57) | VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,58](ec2-controls.md#ec2-58) | VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,60](ec2-controls.md#ec2-60) | VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [EC2,170](ec2-controls.md#ec2-170) | Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2 | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.171](ec2-controls.md#ec2-171) | La journalisation des connexions VPN EC2 doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2,172](ec2-controls.md#ec2-172) | Les paramètres d'accès public EC2 VPC Block devraient bloquer le trafic de passerelle Internet | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,173](ec2-controls.md#ec2-173) | Les demandes EC2 Spot Fleet avec paramètres de lancement doivent permettre le chiffrement des volumes EBS attachés | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2,174](ec2-controls.md#ec2-174) | Les ensembles d'options DHCP EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,175](ec2-controls.md#ec2-175) | Les modèles de lancement EC2 doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,176](ec2-controls.md#ec2-176) | Les listes de préfixes EC2 doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,177](ec2-controls.md#ec2-177) | Les sessions EC2 Traffic Mirror doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,178](ec2-controls.md#ec2-178) | Les filtres de rétroviseurs EC2 doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,179](ec2-controls.md#ec2-179) | Les cibles du miroir de trafic EC2 doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EC2,180](ec2-controls.md#ec2-180) | La source/destination vérification doit être activée sur les interfaces réseau EC2 | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.181](ec2-controls.md#ec2-181) | Les modèles de lancement EC2 doivent permettre le chiffrement des volumes EBS attachés | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EC2.182](ec2-controls.md#ec2-182) | Les instantanés EBS ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECR.1](ecr-controls.md#ecr-1) | La numérisation des images doit être configurée dans les référentiels privés ECR | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ECR.2](ecr-controls.md#ecr-2) | L'immuabilité des balises doit être configurée dans les référentiels privés ECR | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECR.3](ecr-controls.md#ecr-3) | Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECR.4](ecr-controls.md#ecr-4) | Les référentiels publics ECR doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECR.5](ecr-controls.md#ecr-5) | Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECS.2](ecs-controls.md#ecs-2) | Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS. | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.3](ecs-controls.md#ecs-3) | Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.4](ecs-controls.md#ecs-4) | Les conteneurs ECS doivent fonctionner en tant que conteneurs non privilégiés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.5](ecs-controls.md#ecs-5) | Les conteneurs ECS doivent être limités à l'accès en lecture seule aux systèmes de fichiers racines | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.8](ecs-controls.md#ecs-8) | Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.9](ecs-controls.md#ecs-9) | Les définitions de tâches ECS doivent avoir une configuration de journalisation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.10](ecs-controls.md#ecs-10) | Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.12](ecs-controls.md#ecs-12) | Les clusters ECS doivent utiliser Container Insights | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.13](ecs-controls.md#ecs-13) | Les services ECS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECS.14](ecs-controls.md#ecs-14) | Les clusters ECS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECS.15](ecs-controls.md#ecs-15) | Les définitions de tâches ECS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ECS.16](ecs-controls.md#ecs-16) | Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.17](ecs-controls.md#ecs-17) | Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.18](ecs-controls.md#ecs-18) | Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.19](ecs-controls.md#ecs-19) | Les fournisseurs de capacité ECS doivent avoir activé la protection des terminaisons gérée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.20](ecs-controls.md#ecs-20) | Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ECS.21](ecs-controls.md#ecs-21) | Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EFS.1](efs-controls.md#efs-1) | Elastic File System doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de base v1.0.0 AWS , NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EFS.2](efs-controls.md#efs-2) | Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EFS.3](efs-controls.md#efs-3) | Les points d'accès EFS doivent appliquer un répertoire racine | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EFS.4](efs-controls.md#efs-4) | Les points d'accès EFS doivent renforcer l'identité de l'utilisateur | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EFS.5](efs-controls.md#efs-5) | Les points d'accès EFS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EFS.6](efs-controls.md#efs-6) | Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EFS.7](efs-controls.md#efs-7) | Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EFS.8](efs-controls.md#efs-8) | Les systèmes de fichiers EFS doivent être chiffrés au repos | CIS AWS Foundations Benchmark v5.0.0, meilleures pratiques de AWS sécurité de base | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EKS.1](eks-controls.md#eks-1) | Les points de terminaison du cluster EKS ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EKS.2](eks-controls.md#eks-2) | Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EKS 3](eks-controls.md#eks-3) | Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EKS 6](eks-controls.md#eks-6) | Les clusters EKS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EKS 7](eks-controls.md#eks-7) | Les configurations du fournisseur d'identité EKS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EKS.8](eks-controls.md#eks-8) | La journalisation des audits doit être activée sur les clusters EKS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ElastiCache1](elasticache-controls.md#elasticache-1). | ElastiCache Les sauvegardes automatiques des clusters (Redis OSS) doivent être activées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [ElastiCache2.](elasticache-controls.md#elasticache-2) | ElastiCache les mises à niveau automatiques des versions mineures doivent être activées sur les clusters | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache3.](elasticache-controls.md#elasticache-3) | ElastiCache le basculement automatique doit être activé pour les groupes de réplication | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache4.](elasticache-controls.md#elasticache-4) | ElastiCache les groupes de réplication doivent être encrypted-at-rest | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache5.](elasticache-controls.md#elasticache-5) | ElastiCache les groupes de réplication doivent être encrypted-in-transit | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache6.](elasticache-controls.md#elasticache-6) | ElastiCache Les groupes de réplication (Redis OSS) des versions antérieures doivent avoir Redis OSS AUTH activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElastiCache7.](elasticache-controls.md#elasticache-7) | ElastiCache les clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1). | Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ElasticBeanstalk2.](elasticbeanstalk-controls.md#elasticbeanstalk-2) | Les mises à jour de la plateforme gérée Elastic Beanstalk doivent être activées | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ElasticBeanstalk3.](elasticbeanstalk-controls.md#elasticbeanstalk-3) | Elastic Beanstalk devrait diffuser les logs vers CloudWatch | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ELB.1](elb-controls.md#elb-1) | Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ELB.2](elb-controls.md#elb-2) | Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.3](elb-controls.md#elb-3) | Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.4](elb-controls.md#elb-4) | Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.5](elb-controls.md#elb-5) | La journalisation des applications et des équilibreurs de charge classiques doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.6](elb-controls.md#elb-6) | La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.7](elb-controls.md#elb-7) | Le drainage des connexions doit être activé sur les équilibreurs de charge classiques | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.8](elb-controls.md#elb-8) | Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie dotée d'une configuration solide | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.9](elb-controls.md#elb-9) | L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.10](elb-controls.md#elb-10) | Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ELB.12](elb-controls.md#elb-12) | Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.13](elb-controls.md#elb-13) | Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ELB.14](elb-controls.md#elb-14) | Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.16](elb-controls.md#elb-16) | Les équilibreurs de charge d'application doivent être associés à une ACL AWS Web WAF | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.17](elb-controls.md#elb-17) | Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.18](elb-controls.md#elb-18) | Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.21](elb-controls.md#elb-21) | Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ELB.22](elb-controls.md#elb-22) | Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EMR.1](emr-controls.md#emr-1) | Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EMR 2](emr-controls.md#emr-2) | Le paramètre de blocage de l'accès public à Amazon EMR doit être activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [EMR 3](emr-controls.md#emr-3) | Les configurations de sécurité Amazon EMR doivent être chiffrées au repos | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EMR 4](emr-controls.md#emr-4) | Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.1](es-controls.md#es-1) | Le chiffrement au repos doit être activé dans les domaines Elasticsearch | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ES.2](es-controls.md#es-2) | Les domaines Elasticsearch ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité de base, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [ES.3](es-controls.md#es-3) | Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.4](es-controls.md#es-4) | La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.5](es-controls.md#es-5) | La journalisation des audits doit être activée dans les domaines Elasticsearch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.6](es-controls.md#es-6) | Les domaines Elasticsearch doivent comporter au moins trois nœuds de données | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.7](es-controls.md#es-7) | Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.8](es-controls.md#es-8) | Les connexions aux domaines Elasticsearch doivent être chiffrées à l'aide de la dernière politique de sécurité TLS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [ES.9](es-controls.md#es-9) | Les domaines Elasticsearch doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EventBridge2.](eventbridge-controls.md#eventbridge-2) | EventBridge les bus d'événements doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [EventBridge3.](eventbridge-controls.md#eventbridge-3) | EventBridge les bus d'événements personnalisés doivent être associés à une politique basée sur les ressources | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [EventBridge4.](eventbridge-controls.md#eventbridge-4) | EventBridge la réplication des événements doit être activée sur les points de terminaison globaux | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [FraudDetector1](frauddetector-controls.md#frauddetector-1). | Les types d'entités Amazon Fraud Detector doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [FraudDetector2.](frauddetector-controls.md#frauddetector-2) | Les étiquettes Amazon Fraud Detector doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [FraudDetector3.](frauddetector-controls.md#frauddetector-3) | Les résultats d'Amazon Fraud Detector doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [FraudDetector4.](frauddetector-controls.md#frauddetector-4) | Les variables Amazon Fraud Detector doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [FSx1](fsx-controls.md#fsx-1). | FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [FSx2.](fsx-controls.md#fsx-2) | FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [FSx3.](fsx-controls.md#fsx-3) | FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [FSx4.](fsx-controls.md#fsx-4) | FSx pour les systèmes de fichiers NetApp ONTAP doivent être configurés pour un déploiement multi-AZ | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [FSx5.](fsx-controls.md#fsx-5) | FSx pour Windows File Server, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Colle.1](glue-controls.md#glue-1) | AWS Glue les emplois doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Colle.3](glue-controls.md#glue-3) | AWS Glue les transformations de machine learning doivent être cryptées au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Colle.4](glue-controls.md#glue-4) | AWS Glue Les tâches Spark doivent s'exécuter sur les versions prises en charge de AWS Glue | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1). | Les accélérateurs Global Accelerator doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [GuardDuty1](guardduty-controls.md#guardduty-1). | GuardDuty doit être activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty2.](guardduty-controls.md#guardduty-2) | GuardDuty les filtres doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [GuardDuty3.](guardduty-controls.md#guardduty-3) | GuardDuty IPSets doit être étiqueté | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [GuardDuty4.](guardduty-controls.md#guardduty-4) | GuardDuty les détecteurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [GuardDuty5.](guardduty-controls.md#guardduty-5) | GuardDuty La surveillance du journal d'audit EKS doit être activée | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty6.](guardduty-controls.md#guardduty-6) | GuardDuty La protection Lambda doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty7.](guardduty-controls.md#guardduty-7) | GuardDuty La surveillance du temps d'exécution EKS doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty8.](guardduty-controls.md#guardduty-8) | GuardDuty La protection contre les programmes malveillants pour EC2 doit être activée | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty9.](guardduty-controls.md#guardduty-9) | GuardDuty La protection RDS doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty.10](guardduty-controls.md#guardduty-10) | GuardDuty La protection S3 doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty.11](guardduty-controls.md#guardduty-11) | GuardDuty La surveillance du temps d'exécution doit être activée | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty.12](guardduty-controls.md#guardduty-12) | GuardDuty La surveillance du temps d'exécution ECS doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [GuardDuty.13](guardduty-controls.md#guardduty-13) | GuardDuty La surveillance du temps d'exécution EC2 doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.1](iam-controls.md#iam-1) | Les politiques IAM ne doivent pas autoriser des privilèges administratifs « \$1 » complets | CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité AWS de base v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [IAM.2](iam-controls.md#iam-2) | Les utilisateurs IAM ne doivent pas être associés à des politiques IAM | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [IAM.3](iam-controls.md#iam-3) | Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.4](iam-controls.md#iam-4) | La clé d'accès de l'utilisateur root IAM ne doit pas exister | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de base v1.0.0, AWS PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.5](iam-controls.md#iam-5) | La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.6](iam-controls.md#iam-6) | Le MFA matériel doit être activé pour l'utilisateur root | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.7](iam-controls.md#iam-7) | Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [IAM.8](iam-controls.md#iam-8) | Les informations d'identification utilisateur IAM non utilisées doivent être supprimées | CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité AWS de base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.9](iam-controls.md#iam-9) | La MFA doit être activée pour l'utilisateur root | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [JE SUIS 10](iam-controls.md#iam-10) | Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte | NIST SP 800-171 Rév. 2, PCI DSS v3.2.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.11](iam-controls.md#iam-11) | Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.12](iam-controls.md#iam-12) | Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.13](iam-controls.md#iam-13) | Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.14](iam-controls.md#iam-14) | Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.15](iam-controls.md#iam-15) | Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.16](iam-controls.md#iam-16) | Vérifier que la politique de mot de passe IAM empêche la réutilisation d'un mot de passe | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.17](iam-controls.md#iam-17) | Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.18](iam-controls.md#iam-18) | Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [JE SUIS 19](iam-controls.md#iam-19) | La MFA doit être activée pour tous les utilisateurs IAM | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IAM.21](iam-controls.md#iam-21) | Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [JE SUIS 22](iam-controls.md#iam-22) | Les informations d'identification de l'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [J'AI 23 ANS](iam-controls.md#iam-23) | Les analyseurs IAM Access Analyzer doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [JE SUIS 24](iam-controls.md#iam-24) | Les rôles IAM doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [J'AI 25 ANS](iam-controls.md#iam-25) | Les utilisateurs IAM doivent être tagués | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [JE SUIS 26](iam-controls.md#iam-26) | SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [JE SUIS 27](iam-controls.md#iam-27) | La AWSCloud ShellFullAccess politique ne doit pas être attachée aux identités IAM | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [JE SUIS 28](iam-controls.md#iam-28) | L'analyseur d'accès externe IAM Access Analyzer doit être activé | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Inspecteur.1](inspector-controls.md#inspector-1) | Le scan Amazon Inspector EC2 doit être activé | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Inspecteur 2](inspector-controls.md#inspector-2) | Le scan ECR d'Amazon Inspector doit être activé | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Inspecteur.3](inspector-controls.md#inspector-3) | La numérisation du code Lambda par Amazon Inspector doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Inspecteur.4](inspector-controls.md#inspector-4) | Le scan standard Amazon Inspector Lambda doit être activé | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [IoT.1](iot-controls.md#iot-1) | AWS IoT Device Defender les profils de sécurité doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IoT 2](iot-controls.md#iot-2) | AWS IoT Core les mesures d'atténuation doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IoT. 3](iot-controls.md#iot-3) | AWS IoT Core les dimensions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IoT 4](iot-controls.md#iot-4) | AWS IoT Core les autorisateurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Internet des objets 5](iot-controls.md#iot-5) | AWS IoT Core les alias de rôle doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IoT .6](iot-controls.md#iot-6) | AWS IoT Core les politiques doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TEvents 1.1](iotevents-controls.md#iotevents-1) | AWS IoT Events les entrées doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TEvents 2.2](iotevents-controls.md#iotevents-2) | AWS IoT Events les modèles de détecteurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TEvents 1.3](iotevents-controls.md#iotevents-3) | AWS IoT Events les modèles d'alarme doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.1](iotsitewise-controls.md#iotsitewise-1) | AWS IoT SiteWise les modèles d'actifs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.2](iotsitewise-controls.md#iotsitewise-2) | AWS IoT SiteWise les tableaux de bord doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.3](iotsitewise-controls.md#iotsitewise-3) | AWS IoT SiteWise les passerelles doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.4](iotsitewise-controls.md#iotsitewise-4) | AWS IoT SiteWise les portails doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TSite Wise.5](iotsitewise-controls.md#iotsitewise-5) | AWS IoT SiteWise les projets doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TTwin Maker.1](iottwinmaker-controls.md#iottwinmaker-1) | AWS Les tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TTwin Maker.2](iottwinmaker-controls.md#iottwinmaker-2) | AWS Les TwinMaker espaces de travail IoT doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TTwin Maker.3](iottwinmaker-controls.md#iottwinmaker-3) | AWS Les TwinMaker scènes IoT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TTwin Maker.4](iottwinmaker-controls.md#iottwinmaker-4) | AWS TwinMaker Les entités IoT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TWireless 1.1](iotwireless-controls.md#iotwireless-1) | AWS Les groupes de multidiffusion IoT Wireless doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TWireless 2.2](iotwireless-controls.md#iotwireless-2) | AWS Les profils de service IoT Wireless doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Io TWireless 1.3](iotwireless-controls.md#iotwireless-3) | AWS Les tâches IoT Wireless FUOTA doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IVS.1](ivs-controls.md#ivs-1) | Les paires de clés de lecture IVS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IVS.2](ivs-controls.md#ivs-2) | Les configurations d'enregistrement IVS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [IVS.3](ivs-controls.md#ivs-3) | Les canaux IVS doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Espaces clés. 1](keyspaces-controls.md#keyspaces-1) | Les espaces de touches Amazon Keyspaces doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Kinesis.1](kinesis-controls.md#kinesis-1) | Les flux Kinesis doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Kinése.2](kinesis-controls.md#kinesis-2) | Les flux Kinesis doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Kinése.3](kinesis-controls.md#kinesis-3) | Les flux Kinesis doivent bénéficier d'une période de conservation des données adéquate | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [KMS.1](kms-controls.md#kms-1) | Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [KMS.2](kms-controls.md#kms-2) | Les principaux IAM ne doivent pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [KMS.3](kms-controls.md#kms-3) | AWS KMS keys ne doit pas être supprimé par inadvertance | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [KMS.4](kms-controls.md#kms-4) | AWS KMS key la rotation doit être activée | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [KMS 5](kms-controls.md#kms-5) | Les clés KMS ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Lambda.1](lambda-controls.md#lambda-1) | Les politiques relatives à la fonction Lambda devraient interdire l'accès public | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Lambda.2](lambda-controls.md#lambda-2) | Les fonctions Lambda doivent utiliser des environnements d'exécution pris en charge | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Lambda.3](lambda-controls.md#lambda-3) | Les fonctions Lambda doivent se trouver dans un VPC | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Lambda.5](lambda-controls.md#lambda-5) | Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lambda 6](lambda-controls.md#lambda-6) | Les fonctions Lambda doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Lambda 7](lambda-controls.md#lambda-7) | Le suivi AWS X-Ray actif doit être activé pour les fonctions Lambda | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Macie.1](macie-controls.md#macie-1) | Amazon Macie devrait être activé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Macie 2](macie-controls.md#macie-2) | La découverte automatique des données sensibles par Macie doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [MSK 1](msk-controls.md#msk-1) | Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK 2](msk-controls.md#msk-2) | Les clusters MSK doivent avoir une surveillance améliorée configurée | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK 3](msk-controls.md#msk-3) | Les connecteurs MSK Connect doivent être chiffrés pendant le transport | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK 4](msk-controls.md#msk-4) | L'accès public aux clusters MSK doit être désactivé | AWS Bonnes pratiques de sécurité fondamentales | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK 5](msk-controls.md#msk-5) | La journalisation des connecteurs MSK doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MSK.6](msk-controls.md#msk-6) | Les clusters MSK doivent désactiver l'accès non authentifié | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MQ.2](mq-controls.md#mq-2) | Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MQ.4](mq-controls.md#mq-4) | Les courtiers Amazon MQ doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [MQ.5](mq-controls.md#mq-5) | Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [MQ.6](mq-controls.md#mq-6) | Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.1](neptune-controls.md#neptune-1) | Les clusters de base de données Neptune doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.2](neptune-controls.md#neptune-2) | Les clusters de base de données Neptune doivent publier les journaux d'audit dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.3](neptune-controls.md#neptune-3) | Les instantanés du cluster de base de données Neptune ne doivent pas être publics | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.4](neptune-controls.md#neptune-4) | La protection contre les suppressions doit être activée pour les clusters de base de données Neptune | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.5](neptune-controls.md#neptune-5) | Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Neptune.6](neptune-controls.md#neptune-6) | Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.7](neptune-controls.md#neptune-7) | L'authentification de base de données IAM doit être activée pour les clusters de base de données Neptune | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.8](neptune-controls.md#neptune-8) | Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Neptune.9](neptune-controls.md#neptune-9) | Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1). | Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall2.](networkfirewall-controls.md#networkfirewall-2) | La journalisation par Network Firewall doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [NetworkFirewall3.](networkfirewall-controls.md#networkfirewall-3) | Les politiques de Network Firewall doivent être associées à au moins un groupe de règles | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall4.](networkfirewall-controls.md#networkfirewall-4) | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets complets. | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall5.](networkfirewall-controls.md#networkfirewall-5) | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés. | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall6.](networkfirewall-controls.md#networkfirewall-6) | Le groupe de règles de pare-feu réseau sans état ne doit pas être vide | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall7.](networkfirewall-controls.md#networkfirewall-7) | Les pare-feux Network Firewall doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [NetworkFirewall8.](networkfirewall-controls.md#networkfirewall-8) | Les politiques de pare-feu de Network Firewall doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [NetworkFirewall9.](networkfirewall-controls.md#networkfirewall-9) | La protection contre les suppressions doit être activée sur les pare-feux Network Firewall | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10) | La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.1](opensearch-controls.md#opensearch-1) | OpenSearch le chiffrement au repos doit être activé dans les domaines | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.2](opensearch-controls.md#opensearch-2) | OpenSearch les domaines ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.3](opensearch-controls.md#opensearch-3) | OpenSearch les domaines doivent chiffrer les données envoyées entre les nœuds | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.4](opensearch-controls.md#opensearch-4) | OpenSearch la journalisation des erreurs de domaine dans CloudWatch Logs doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.5](opensearch-controls.md#opensearch-5) | OpenSearch la journalisation des audits doit être activée pour les domaines | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.6](opensearch-controls.md#opensearch-6) | OpenSearch les domaines doivent comporter au moins trois nœuds de données | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.7](opensearch-controls.md#opensearch-7) | OpenSearch le contrôle d'accès détaillé des domaines doit être activé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Opensearch.8](opensearch-controls.md#opensearch-8) | Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [OpenSearch.9](opensearch-controls.md#opensearch-9) | OpenSearch les domaines doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Opensearch.10](opensearch-controls.md#opensearch-10) | OpenSearch la dernière mise à jour logicielle doit être installée sur les domaines | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [OpenSearch.11](opensearch-controls.md#opensearch-11) | OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés | NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [PCA.1](pca-controls.md#pca-1) | AWS CA privée l'autorité de certification racine doit être désactivée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [PCA.2](pca-controls.md#pca-2) | AWS Les autorités de certification privées de l'autorité de certification doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.1](rds-controls.md#rds-1) | L'instantané RDS doit être privé | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.2](rds-controls.md#rds-2) | Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.3](rds-controls.md#rds-3) | Le chiffrement au repos des instances de base de données RDS doit être activé | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de base v1.0.0, AWS NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.4](rds-controls.md#rds-4) | Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.5](rds-controls.md#rds-5) | Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité | CIS AWS Foundations Benchmark v5.0.0, meilleures pratiques de sécurité de AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.6](rds-controls.md#rds-6) | Une surveillance améliorée doit être configurée pour les instances de base de données RDS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.7](rds-controls.md#rds-7) | La protection contre la suppression des clusters RDS doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.8](rds-controls.md#rds-8) | La protection contre la suppression des instances de base de données RDS doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.9](rds-controls.md#rds-9) | Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.10](rds-controls.md#rds-10) | L'authentification IAM doit être configurée pour les instances RDS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.11](rds-controls.md#rds-11) | Les sauvegardes automatiques doivent être activées sur les instances RDS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.12](rds-controls.md#rds-12) | L'authentification IAM doit être configurée pour les clusters RDS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.13](rds-controls.md#rds-13) | Les mises à niveau automatiques des versions mineures de RDS doivent être activées | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.14](rds-controls.md#rds-14) | Le retour en arrière doit être activé sur les clusters Amazon Aurora | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.15](rds-controls.md#rds-15) | Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité | CIS AWS Foundations Benchmark v5.0.0, meilleures pratiques de sécurité de AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.16](rds-controls.md#rds-16) | Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.17](rds-controls.md#rds-17) | Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.18](rds-controls.md#rds-18) | Les instances RDS doivent être déployées dans un VPC | | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.19](rds-controls.md#rds-19) | Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.20](rds-controls.md#rds-20) | Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques liés aux instances de base de données | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.21](rds-controls.md#rds-21) | Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques liés aux groupes de paramètres de base de données. | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.22](rds-controls.md#rds-22) | Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.23](rds-controls.md#rds-23) | Les instances RDS ne doivent pas utiliser de port par défaut du moteur de base de données | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.24](rds-controls.md#rds-24) | Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.25](rds-controls.md#rds-25) | Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.26](rds-controls.md#rds-26) | Les instances de base de données RDS doivent être protégées par un plan de sauvegarde | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [RDS.27](rds-controls.md#rds-27) | Les clusters de base de données RDS doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.28](rds-controls.md#rds-28) | Les clusters de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.29](rds-controls.md#rds-29) | Les instantanés du cluster de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.30](rds-controls.md#rds-30) | Les instances de base de données RDS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.31](rds-controls.md#rds-31) | Les groupes de sécurité de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.32](rds-controls.md#rds-32) | Les instantanés de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.33](rds-controls.md#rds-33) | Les groupes de sous-réseaux de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.34](rds-controls.md#rds-34) | Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans CloudWatch Logs | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.35](rds-controls.md#rds-35) | La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.36](rds-controls.md#rds-36) | Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.37](rds-controls.md#rds-37) | Les clusters de base de données Aurora PostgreSQL doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.38](rds-controls.md#rds-38) | Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.39](rds-controls.md#rds-39) | Les instances de base de données RDS pour MySQL doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.40](rds-controls.md#rds-40) | Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [RDS.41](rds-controls.md#rds-41) | Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.42](rds-controls.md#rds-42) | Les instances de base de données RDS pour MariaDB doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [RDS.43](rds-controls.md#rds-43) | Les proxys de base de données RDS doivent exiger le chiffrement TLS pour les connexions | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS 44](rds-controls.md#rds-44) | Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.45](rds-controls.md#rds-45) | La journalisation des audits doit être activée sur les clusters de bases de données Aurora MySQL | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.46](rds-controls.md#rds-46) | Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics dotés de routes vers des passerelles Internet | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RDS.47](rds-controls.md#rds-47) | Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données | AWS Bonnes pratiques de sécurité fondamentales | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.48](rds-controls.md#rds-48) | Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données | AWS Bonnes pratiques de sécurité fondamentales | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RDS.50](rds-controls.md#rds-50) | Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Oui | Changement déclenché |
| [Redshift.1](redshift-controls.md#redshift-1) | Les clusters Amazon Redshift devraient interdire l'accès public | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.2](redshift-controls.md#redshift-2) | Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.3](redshift-controls.md#redshift-3) | Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.4](redshift-controls.md#redshift-4) | La journalisation des audits doit être activée sur les clusters Amazon Redshift | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.6](redshift-controls.md#redshift-6) | Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.7](redshift-controls.md#redshift-7) | Les clusters Redshift doivent utiliser un routage VPC amélioré | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.8](redshift-controls.md#redshift-8) | Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.10](redshift-controls.md#redshift-10) | Les clusters Redshift doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.11](redshift-controls.md#redshift-11) | Les clusters Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.12](redshift-controls.md#redshift-12) | Les notifications d'abonnement aux événements Redshift doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.13](redshift-controls.md#redshift-13) | Les instantanés du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.14](redshift-controls.md#redshift-14) | Les groupes de sous-réseaux du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.15](redshift-controls.md#redshift-15) | Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Redshift.16](redshift-controls.md#redshift-16) | Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Redshift.17](redshift-controls.md#redshift-17) | Les groupes de paramètres du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Redshift.18](redshift-controls.md#redshift-18) | Les déploiements multi-AZ doivent être activés sur les clusters Redshift | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1). | Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RedshiftServerless2.](redshiftserverless-controls.md#redshiftserverless-2) | Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RedshiftServerless3.](redshiftserverless-controls.md#redshiftserverless-3) | Les groupes de travail Redshift Serverless devraient interdire l'accès public | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RedshiftServerless4.](redshiftserverless-controls.md#redshiftserverless-4) | Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [RedshiftServerless5.](redshiftserverless-controls.md#redshiftserverless-5) | Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [RedshiftServerless6.](redshiftserverless-controls.md#redshiftserverless-6) | Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Itinéraire 53.1](route53-controls.md#route53-1) | Les bilans de santé de la Route 53 doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Itinéraire 53.2](route53-controls.md#route53-2) | Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.1](s3-controls.md#s3-1) | Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [S3.2](s3-controls.md#s3-2) | Les compartiments S3 à usage général devraient bloquer l'accès public à la lecture | AWS Bonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [S3.3](s3-controls.md#s3-3) | Les compartiments S3 à usage général devraient bloquer l'accès public en écriture | AWS Bonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché et périodique |
| [S3.5](s3-controls.md#s3-5) | Les compartiments S3 à usage général devraient nécessiter des demandes d'utilisation du protocole SSL | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.6](s3-controls.md#s3-6) | Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.7](s3-controls.md#s3-7) | Les compartiments S3 à usage général doivent utiliser la réplication entre régions | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.8](s3-controls.md#s3-8) | Les compartiments S3 à usage général devraient bloquer l'accès public | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.9](s3-controls.md#s3-9) | La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.10](s3-controls.md#s3-10) | Les compartiments S3 à usage général dont la gestion des versions est activée doivent avoir des configurations de cycle de vie | NIST SP 800-53 Rév. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.11](s3-controls.md#s3-11) | Les notifications d'événements doivent être activées dans les compartiments S3 à usage général | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [S3.12](s3-controls.md#s3-12) | ACLs ne doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3.13](s3-controls.md#s3-13) | Les compartiments S3 à usage général doivent avoir des configurations de cycle de vie | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [S3,14](s3-controls.md#s3-14) | La gestion des versions des compartiments S3 à usage général doit être activée | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,15](s3-controls.md#s3-15) | Object Lock doit être activé dans les compartiments S3 à usage général | NIST SP 800-53 Rév. 5, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [S3.17](s3-controls.md#s3-17) | Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys | NIST SP 800-53 Rév. 5, NIST SP 800-171 Rév. 2, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,19](s3-controls.md#s3-19) | Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3 | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,20](s3-controls.md#s3-20) | La suppression MFA doit être activée dans les compartiments S3 à usage général | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,22](s3-controls.md#s3-22) | Les compartiments S3 à usage général doivent enregistrer les événements d'écriture au niveau de l'objet | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [S3,23](s3-controls.md#s3-23) | Les compartiments S3 à usage général doivent enregistrer les événements de lecture au niveau de l'objet | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [S3,24](s3-controls.md#s3-24) | Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 doivent être activés | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [S3,25](s3-controls.md#s3-25) | Les compartiments d'annuaire S3 doivent avoir des configurations de cycle de vie | AWS Bonnes pratiques de sécurité fondamentales | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SageMaker1](sagemaker-controls.md#sagemaker-1). | Les instances Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet | AWS Bonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SageMaker2.](sagemaker-controls.md#sagemaker-2) | SageMaker les instances de bloc-notes doivent être lancées dans un VPC personnalisé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker3.](sagemaker-controls.md#sagemaker-3) | Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker4.](sagemaker-controls.md#sagemaker-4) | SageMaker le nombre d'instances initial des variantes de production des terminaux doit être supérieur à 1 | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SageMaker5.](sagemaker-controls.md#sagemaker-5) | SageMaker l'isolation du réseau doit être activée sur les modèles | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker6.](sagemaker-controls.md#sagemaker-6) | SageMaker les configurations d'image de l'application doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SageMaker7.](sagemaker-controls.md#sagemaker-7) | SageMaker les images doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SageMaker8.](sagemaker-controls.md#sagemaker-8) | SageMaker les instances de bloc-notes doivent fonctionner sur les plateformes prises en charge | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SageMaker9.](sagemaker-controls.md#sagemaker-9) | SageMaker le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des données | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.10](sagemaker-controls.md#sagemaker-10) | SageMaker les définitions des tâches d'explicabilité du modèle doivent avoir le chiffrement du trafic inter-conteneurs activé | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.11](sagemaker-controls.md#sagemaker-11) | SageMaker l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des données | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.12](sagemaker-controls.md#sagemaker-12) | SageMaker biais du modèle : les définitions des tâches doivent avoir l'isolation du réseau activée | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.13](sagemaker-controls.md#sagemaker-13) | SageMaker le chiffrement du trafic entre conteneurs doit être activé dans les définitions de tâches relatives à la qualité du modèle | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.14](sagemaker-controls.md#sagemaker-14) | SageMaker l'isolation du réseau doit être activée dans les plannings de surveillance | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SageMaker.15](sagemaker-controls.md#sagemaker-15) | SageMaker le chiffrement du trafic entre conteneurs doit être activé dans les définitions de tâches basées sur le biais du modèle | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SecretsManager1](secretsmanager-controls.md#secretsmanager-1). | La rotation automatique des secrets des secrets du Gestionnaire de secrets doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SecretsManager2.](secretsmanager-controls.md#secretsmanager-2) | Les secrets de Secrets Manager configurés avec une rotation automatique doivent être correctement pivotés | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SecretsManager3.](secretsmanager-controls.md#secretsmanager-3) | Supprimer les secrets inutilisés de Secrets Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [SecretsManager4.](secretsmanager-controls.md#secretsmanager-4) | Les secrets de Secrets Manager doivent faire l'objet d'une rotation dans un délai spécifié | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Périodique |
| [SecretsManager5.](secretsmanager-controls.md#secretsmanager-5) | Les secrets de Secrets Manager doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1). | Les portefeuilles Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SES.1](ses-controls.md#ses-1) | Les listes de contacts SES doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [VOIR. 2](ses-controls.md#ses-2) | Les ensembles de configuration SES doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [VOIR. 3](ses-controls.md#ses-3) | Les ensembles de configuration SES doivent avoir le protocole TLS activé pour l'envoi d'e-mails | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SNS.1](sns-controls.md#sns-1) | Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SNS.3](sns-controls.md#sns-3) | Les sujets SNS doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SNS.4](sns-controls.md#sns-4) | Les politiques d'accès aux rubriques SNS ne doivent pas autoriser l'accès public | AWS Bonnes pratiques de sécurité fondamentales | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SQS.1](sqs-controls.md#sqs-1) | Les files d'attente Amazon SQS doivent être chiffrées au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SQ. 2](sqs-controls.md#sqs-2) | Les files d'attente SQS doivent être balisées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SQS.3](sqs-controls.md#sqs-3) | Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public | AWS Bonnes pratiques de sécurité fondamentales | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SSM.1](ssm-controls.md#ssm-1) | Les instances EC2 doivent être gérées par AWS Systems Manager | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SSM.2](ssm-controls.md#ssm-2) | Les instances EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | ÉLEVÉ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SSM.3](ssm-controls.md#ssm-3) | Les instances EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [SSM.4](ssm-controls.md#ssm-4) | Les documents du SSM ne doivent pas être publics | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SSM.5](ssm-controls.md#ssm-5) | Les documents SSM doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [SSM.6](ssm-controls.md#ssm-6) | La CloudWatch journalisation de SSM Automation doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [SSM.7](ssm-controls.md#ssm-7) | Le paramètre de blocage du partage public doit être activé pour les documents SSM | AWS Bonnes pratiques de sécurité de base v1.0.0 | CRITIQUE | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [StepFunctions1](stepfunctions-controls.md#stepfunctions-1). | Step Functions : la journalisation doit être activée sur les machines d'état | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | MOYEN | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [StepFunctions2.](stepfunctions-controls.md#stepfunctions-2) | Les activités de Step Functions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.1](transfer-controls.md#transfer-1) | Les flux de travail de Transfer Family doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.2](transfer-controls.md#transfer-2) | Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [Transférement.3](transfer-controls.md#transfer-3) | La journalisation des connecteurs Transfer Family doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [Transfer.4](transfer-controls.md#transfer-4) | Les accords Transfer Family devraient être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.5](transfer-controls.md#transfer-5) | Les certificats Transfer Family doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.6](transfer-controls.md#transfer-6) | Les connecteurs Transfer Family doivent être étiquetés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [Transfer.7](transfer-controls.md#transfer-7) | Les profils Transfer Family doivent être balisés | AWS Norme de balisage des ressources | BAS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-yes.png) Oui | Changement déclenché |
| [WAF.1](waf-controls.md#waf-1) | AWS La journalisation ACL du WAF Classic Global Web doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [WAF.2](waf-controls.md#waf-2) | AWS Les règles régionales du WAF Classic doivent comporter au moins une condition | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.3](waf-controls.md#waf-3) | AWS Les groupes de règles régionaux WAF Classic doivent avoir au moins une règle | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.4](waf-controls.md#waf-4) | AWS Le site Web régional WAF Classic ACLs doit avoir au moins une règle ou un groupe de règles | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.6](waf-controls.md#waf-6) | AWS Les règles globales du WAF Classic doivent comporter au moins une condition | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.7](waf-controls.md#waf-7) | AWS Les groupes de règles globaux WAF Classic doivent avoir au moins une règle | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.8](waf-controls.md#waf-8) | AWS Le Web mondial WAF Classic ACLs doit avoir au moins une règle ou un groupe de règles | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.10](waf-controls.md#waf-10) | AWS Le Web WAF ACLs doit avoir au moins une règle ou un groupe de règles | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WAF.11](waf-controls.md#waf-11) | AWS La journalisation des ACL Web WAF doit être activée | NIST SP 800-53 Rév. 5, PCI DSS v4.0.1 | BAS | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Périodique |
| [WAF.12](waf-controls.md#waf-12) | AWS Les règles WAF doivent avoir les CloudWatch métriques activées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WorkSpaces1](workspaces-controls.md#workspaces-1). | WorkSpaces les volumes utilisateur doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
| [WorkSpaces2.](workspaces-controls.md#workspaces-2) | WorkSpaces les volumes racines doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | ![\[No\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/icon-no.png) Non | Changement déclenché |
# Journal des modifications pour les contrôles CSPM de Security Hub
Le journal des modifications suivant suit les modifications importantes apportées aux contrôles CSPM existants du AWS Security Hub, qui peuvent entraîner des modifications de l'état général d'un contrôle et de l'état de conformité de ses conclusions. Pour plus d'informations sur la manière dont Security Hub CSPM évalue l'état des contrôles, consultez. [Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md) Les modifications peuvent prendre quelques jours après leur entrée dans ce journal pour affecter toutes les Régions AWS entités dans lesquelles le contrôle est disponible.
Ce journal suit les changements survenus depuis avril 2023. Choisissez un contrôle pour consulter des informations supplémentaires le concernant. Les modifications de titre sont indiquées dans la description détaillée d'un contrôle pendant 90 jours.
| Date de modification | ID et titre du contrôle | Description du changement |
| --- | --- | --- |
| 3 avril 2026 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. Security Hub CSPM a modifié la valeur du paramètre de ce contrôle de à`1.32`. `1.33` Le support standard pour la version 1.32 de Kubernetes dans Amazon EKS a pris fin le 23 mars 2026. |
| 3 avril 2026 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Le paramètre Lambda.2 pour les environnements d'exécution pris en charge n'est plus inclus car ruby3.2 Lambda a déconseillé ce runtime. |
| 24 mars 2026 | [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50) | Security Hub CSPM a mis à jour le titre du contrôle pour indiquer que le contrôle vérifie tous les clusters de base de données RDS. |
| 24 mars 2026 | [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5) | Security Hub CSPM a mis à jour le titre et la description du contrôle pour indiquer que le contrôle vérifie les définitions de tâches ECS. Security Hub CSPM a également mis à jour le contrôle afin de ne pas générer de résultats pour les définitions de tâches `runtimePlatform` configurées pour spécifier une famille de `WINDOWS_SERVER` systèmes d'exploitation. |
| 9 mars 2026 | [AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos | Security Hub CSPM a retiré ce contrôle et l'a retiré de la norme [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync fournit désormais un chiffrement par défaut sur tous les caches d'API actuels et futurs. |
| 9 mars 2026 | [AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport | Security Hub CSPM a retiré ce contrôle et l'a retiré de la norme [AWS Foundational Security Best Practices (FSBP](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)). AWS AppSync fournit désormais un chiffrement par défaut sur tous les caches d'API actuels et futurs. |
| 4 mars 2026 | [ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés | Security Hub CSPM a retiré ce contrôle et l'a retiré de la norme [AWS Foundational Security Best Practices (FSBP) et de la norme](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST SP](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 800-53 Rev. 5. |
| 5 février 2026 | [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1) | Security Hub CSPM supprimera ce contrôle et le supprimera de toutes les normes CSPM de Security Hub applicables le 9 mars 2026. AWS AppSync fournit un chiffrement par défaut sur tous les caches d'API actuels et futurs. |
| 5 février 2026 | [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6) | Security Hub CSPM supprimera ce contrôle et le supprimera de toutes les normes CSPM de Security Hub applicables le 9 mars 2026. AWS AppSync fournit un chiffrement par défaut sur tous les caches d'API actuels et futurs. |
| 16 janvier 2026 | [[ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés](ecs-controls.md#ecs-1) | Security Hub CSPM a indiqué que ce contrôle serait retiré et supprimé de toutes les normes CSPM de Security Hub applicables après le 16 février 2026. |
| 12 janvier 2026 | [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4) | Security Hub CSPM a mis à jour ce contrôle pour supprimer le `loggingEnabled` paramètre. |
| 12 janvier 2026 | [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures | Security Hub CSPM a retiré le contrôle et l'a retiré de toutes les normes applicables. Security Hub CSPM a retiré le contrôle en raison des exigences d'Amazon MQ relatives aux mises à niveau automatiques des versions mineures. [Auparavant, le contrôle s'appliquait à la norme [AWS Foundational Security Best Practices (FSBP), à la norme](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53 Rev. 5 et à la norme](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) |
| 12 janvier 2026 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge ce `dotnet10` contrôle en tant que valeur de paramètre. AWS Lambda support ajouté pour ce runtime. |
| 15 décembre 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge `python3.9` comme valeur de paramètre pour ce contrôle. AWS Lambda ne prend plus en charge ce runtime. |
| 12 décembre 2025 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. Security Hub CSPM a modifié la valeur du paramètre de ce contrôle de à`1.31`. `1.32` Le support standard pour la version 1.31 de Kubernetes dans Amazon EKS a pris fin le 26 novembre 2025. |
| 21 novembre 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge `nodejs24.x` et en `python3.14` tant que valeurs de paramètres pour ce contrôle. AWS Lambda support ajouté pour ces environnements d'exécution. |
| 14 novembre 2025 | [[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques](ec2-controls.md#ec2-15) | Security Hub CSPM a mis à jour la description et la justification de ce contrôle. Auparavant, le contrôle vérifiait uniquement l'attribution automatique d'adresses IP IPv4 publiques dans les sous-réseaux Amazon VPC à l'aide de l'indicateur. `MapPublicIpOnLaunch` Ce contrôle vérifie désormais à la fois l'attribution automatique des adresses IP IPv6 publiques IPv4 et l'attribution automatique. La description et la justification du contrôle ont été mises à jour pour refléter ces changements. |
| 14 novembre 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge ce `java25` contrôle en tant que valeur de paramètre. AWS Lambda support ajouté pour ce runtime. |
| 13 novembre 2025 | [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`HIGH`. `CRITICAL` Le fait d'autoriser l'accès public aux rubriques Amazon SNS représente un risque de sécurité important. |
| 13 novembre 2025 | [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`HIGH`. `CRITICAL` Le fait d'autoriser l'accès public aux files d'attente Amazon SQS représente un risque de sécurité important. |
| 13 novembre 2025 | [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`MEDIUM`. `HIGH` Ce type de surveillance de l'exécution fournit une détection améliorée des menaces pour les ressources Amazon EKS. |
| 13 novembre 2025 | [[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures](mq-controls.md#mq-3) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`LOW`. `MEDIUM` Les mises à niveau mineures des versions incluent les correctifs de sécurité nécessaires au maintien de la sécurité des courtiers Amazon MQ. |
| 13 novembre 2025 | [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`LOW`. `MEDIUM` Les mises à jour logicielles incluent les correctifs de sécurité nécessaires au maintien de la sécurité OpenSearch du domaine. |
| 13 novembre 2025 | [[RDS.7] La protection contre la suppression des clusters RDS doit être activée](rds-controls.md#rds-7) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`LOW`. `MEDIUM` La protection contre la suppression permet d'empêcher la suppression accidentelle de bases de données Amazon RDS et la suppression de bases de données RDS par des entités non autorisées. |
| 13 novembre 2025 | [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`LOW`. `MEDIUM` AWS CloudTrail les données de journalisation dans Amazon CloudWatch Logs peuvent être utilisées pour des activités d'audit, des alarmes et d'autres opérations de sécurité importantes. |
| 13 novembre 2025 | [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`HIGH`. `MEDIUM` Le partage de AWS Service Catalog portefeuilles avec des comptes spécifiques peut être intentionnel et ne signifie pas nécessairement qu'un portefeuille est accessible au public. |
| 13 novembre 2025 | [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`MEDIUM`. `LOW` Les noms `cloudfront.net` de domaine par défaut pour les CloudFront distributions Amazon sont générés de manière aléatoire, ce qui réduit les risques de sécurité. |
| 13 novembre 2025 | [[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-7) | Security Hub CSPM a modifié le niveau de sévérité de ce contrôle de à`MEDIUM`. `LOW` Dans les déploiements multi-instances, d'autres instances saines peuvent gérer les sessions utilisateur lorsqu'une instance est interrompue sans épuiser la connexion, ce qui réduit l'impact opérationnel et les risques de disponibilité. |
| 13 novembre 2025 | [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM a mis à jour ce contrôle pour supprimer le paramètre facultatif`validAdminUserNames`. |
| 23 octobre 2025 | [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) | Security Hub CSPM a annulé les modifications apportées au titre, à la description et à la règle de ce contrôle le 14 octobre 2025. |
| 22 octobre 2025 | [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM a mis à jour ce contrôle afin de ne pas générer de résultats pour les CloudFront distributions Amazon utilisant des origines personnalisées. |
| 16 octobre 2025 | [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15) | Ce contrôle vérifie si une CloudFront distribution Amazon est configurée pour utiliser une politique de sécurité TLS recommandée. Security Hub CSPM prend désormais en charge `TLSv1.2_2025` et en `TLSv1.3_2025` tant que valeurs de paramètres pour ce contrôle. |
| 14 octobre 2025 | [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1) | Security Hub CSPM a modifié le titre, la description et la règle de ce contrôle. Auparavant, le contrôle contrôlait les clusters Redis OSS et tous les groupes de réplication à l'aide de la règle [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html). Le titre du contrôle était le suivant : Les *sauvegardes automatiques des clusters ElastiCache (Redis OSS) devraient être activées*. Ce contrôle vérifie désormais les clusters Valkey en plus des clusters Redis OSS et tous les groupes de réplication, en utilisant la règle [elasticache-automatic-backup-check-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html). Le nouveau titre et la nouvelle description indiquent que le contrôle vérifie les deux types de clusters. |
| 5 octobre 2025 | [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10) | La règle de ce contrôle a été mise à jour afin de détecter également si aucune mise à jour logicielle n'est disponible sur un domaine Amazon OpenSearch Service et si le statut de la mise à jour n'est pas éligible. `PASSED` Auparavant, ce contrôle ne générait un `PASSED` résultat que si aucune mise à jour logicielle n'était disponible sur un OpenSearch domaine et que l'état de la mise à jour était complet. |
| 24 septembre 2025 | [Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut [RedshiftServerless.7] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom de base de données par défaut | Security Hub CSPM a retiré ces contrôles et les a retirés de toutes les normes applicables. Security Hub CSPM a retiré ces contrôles en raison des limites inhérentes à Amazon Redshift qui empêchaient de corriger efficacement les résultats `FAILED` des contrôles. Auparavant, les contrôles s'appliquaient à la norme [AWS Foundational Security Best Practices (FSBP) et à la norme](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST SP 800-53](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Rev. 5. [Le contrôle Redshift.9 s'appliquait également à la norme de gestion des services.AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) |
| 9 septembre 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge `nodejs18.x` comme valeur de paramètre pour ce contrôle. AWS Lambda ne prend plus en charge les environnements d'exécution de Node.js 18. |
| 13 août 2025 | [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM a modifié le titre et la description de ce contrôle. Le nouveau titre et la nouvelle description reflètent plus précisément le fait que le contrôle vérifie le réglage du `EnableNetworkIsolation` paramètre des modèles hébergés par Amazon SageMaker AI. Auparavant, le titre de ce contrôle était : *SageMaker models should block inbound traffic*. |
| 13 août 2025 | [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6) | Security Hub CSPM a modifié le titre et la description de ce contrôle. Le nouveau titre et la nouvelle description reflètent plus précisément l'étendue et la nature de la vérification effectuée par le contrôle. Auparavant, le titre de ce contrôle était : *EFS mount targets should not be associated with a public subnet*. |
| 24 juillet 2025 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. Security Hub CSPM a modifié la valeur du paramètre de ce contrôle de à`1.30`. `1.31` Le support standard pour la version 1.30 de Kubernetes dans Amazon EKS a pris fin le 23 juillet 2025. |
| 23 juillet 2025 | [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173) | Security Hub CSPM a modifié le titre de ce contrôle. Le nouveau titre reflète plus précisément le fait que le contrôle ne vérifie que les demandes Amazon EC2 Spot Fleet qui spécifient les paramètres de lancement. Auparavant, le titre de ce contrôle était : *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*. |
| 30 juin 2025 | [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) | Security Hub CSPM a supprimé ce contrôle de la [norme PCI DSS](pci-standard.md) v4.0.1. La norme PCI DSS v4.0.1 n'exige pas explicitement l'utilisation de symboles dans les mots de passe. |
| 30 juin 2025 | [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) | Security Hub CSPM a supprimé ce contrôle de la norme [NIST SP 800-171](standards-reference-nist-800-171.md) Revision 2. Le SP 800-171 révision 2 du NIST n'exige pas explicitement des délais d'expiration de 90 jours ou moins pour les mots de passe. |
| 30 juin 2025 | [[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16) | Security Hub CSPM a modifié le titre de ce contrôle. Le nouveau titre reflète plus précisément le fait que le contrôle ne vérifie que les clusters de base de données Amazon Aurora. Auparavant, le titre de ce contrôle était : *RDS DB clusters should be configured to copy tags to snapshots*. |
| 30 juin 2025 | [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8) | Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est configurée pour s'exécuter sur une plate-forme prise en charge, en fonction de l'identifiant de plate-forme spécifié pour l'instance de bloc-notes. Security Hub CSPM ne prend plus en charge `notebook-al2-v1` et en `notebook-al2-v2` tant que valeurs de paramètres pour ce contrôle. Les instances Notebook qui s'exécutent sur ces plateformes ont atteint la fin du support le 30 juin 2025. |
| 30 mai 2025 | [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) | Security Hub CSPM a supprimé ce contrôle de la [norme PCI DSS](pci-standard.md) v4.0.1. Ce contrôle vérifie si les politiques de mot de passe des comptes pour les utilisateurs IAM répondent aux exigences minimales, notamment une longueur de mot de passe minimale de 7 caractères. La norme PCI DSS v4.0.1 exige désormais que les mots de passe comportent au moins 8 caractères. Le contrôle continue de s'appliquer à la norme PCI DSS v3.2.1, qui impose des exigences de mot de passe différentes. [Pour évaluer les politiques de mot de passe du compte par rapport aux exigences de la norme PCI DSS v4.0.1, vous pouvez utiliser le contrôle IAM.7.](iam-controls.md#iam-7) Ce contrôle nécessite que les mots de passe comportent au moins 8 caractères. Il prend également en charge les valeurs personnalisées pour la longueur du mot de passe et d'autres paramètres. Le contrôle IAM.7 fait partie de la norme PCI DSS v4.0.1 du Security Hub CSPM. |
| 8 mai 2025 | [RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet | Security Hub CSPM a annulé la publication du contrôle RDS.46 dans son ensemble. Régions AWS Auparavant, ce contrôle était conforme à la norme AWS Foundational Security Best Practices (FSBP). |
| 7 avril 2025 | [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17) | Ce contrôle vérifie si l'écouteur HTTPS d'un Application Load Balancer ou l'écouteur TLS d'un Network Load Balancer est configuré pour chiffrer les données en transit en utilisant une politique de sécurité recommandée. Security Hub CSPM prend désormais en charge deux valeurs de paramètres supplémentaires pour ce contrôle : `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` et. `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` |
| 27 mars 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge ce `ruby3.4` contrôle en tant que valeur de paramètre. AWS Lambda support ajouté pour ce runtime. |
| 26 mars 2025 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. Pour le `oldestVersionSupported` paramètre, Security Hub CSPM a modifié la valeur de à`1.29`. `1.30` La plus ancienne version supportée de Kubernetes est désormais disponible. `1.30` |
| 10 mars 2025 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge `dotnet6` et en `python3.8` tant que valeurs de paramètres pour ce contrôle. AWS Lambda ne prend plus en charge ces environnements d'exécution. |
| 07 mars 2025 | [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18) | Security Hub CSPM a supprimé ce contrôle de la norme AWS Foundational Security Best Practices et a automatisé les vérifications pour répondre aux exigences du NIST SP 800-53 Rev. 5. Depuis le retrait du réseau Amazon EC2-Classic, les instances Amazon Relational Database Service (Amazon RDS) ne peuvent plus être déployées en dehors d'un VPC. Le contrôle continue de faire partie de la norme de [AWS Control Tower gestion des services](service-managed-standard-aws-control-tower.md). |
| 10 janvier 2025 | [Glue.2] La journalisation des tâches AWS Glue doit être activée | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. |
| 20 décembre 2024 | EC2.61 à EC2.169 | Security Hub CSPM a annulé la sortie de l'EC2.61 via les contrôles EC2.169. |
| 12 décembre 2024 | [[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données](rds-controls.md#rds-23) | RDS.23 vérifie si un cluster ou une instance Amazon Relational Database Service (Amazon RDS) utilise un port autre que le port par défaut du moteur de base de données. Nous avons mis à jour le contrôle afin que la AWS Config règle sous-jacente renvoie un résultat NOT\$1APPLICABLE pour les instances RDS faisant partie d'un cluster. |
| 2 décembre 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en nodejs22.x tant que paramètre. |
| 26 novembre 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est désormais disponible1.29. |
| 20 novembre 2024 | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) | Config.1 vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub CSPM a augmenté la sévérité de ce contrôle de à`MEDIUM`. `CRITICAL` Security Hub CSPM a également ajouté de nouveaux [codes d'état et de nouvelles raisons d'état pour expliquer l'](controls-findings-create-update.md#control-findings-asff-compliance)échec des résultats de la configuration 1. Ces modifications reflètent l'importance de Config.1 pour le fonctionnement des contrôles CSPM du Security Hub. Si l'enregistrement des ressources est désactivé AWS Config ou si l'enregistrement des ressources est désactivé, vous pouvez recevoir des résultats de contrôle inexacts. Pour recevoir un `PASSED` résultat pour Config.1, activez l'enregistrement des ressources correspondant aux contrôles Security Hub CSPM activés et désactivez les contrôles qui ne sont pas nécessaires dans votre organisation. Pour obtenir des instructions sur la configuration AWS Config de Security Hub CSPM, consultez. [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md) Pour obtenir la liste des contrôles Security Hub CSPM et des ressources correspondantes, consultez. [AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md) |
| 12 novembre 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en python3.13 tant que paramètre. |
| 11 octobre 2024 | ElastiCache commandes | Les titres de contrôle ont été modifiés pour ElastiCache 3.3, ElastiCache .4, ElastiCache .5 et ElastiCache .7. Les titres ne mentionnent plus Redis OSS car les contrôles s'appliquent également ElastiCache à Valkey. |
| 27 septembre 2024 | [[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides](elb-controls.md#elb-4) | Le titre de contrôle modifié depuis Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP vers Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides. |
| 19 août 2024 | Changements de titre apportés au DMS.12 et aux commandes ElastiCache | Titres de contrôle modifiés pour DMS.12 et ElastiCache 2.1 à ElastiCache 1.7. Nous avons modifié ces titres pour refléter le changement de nom du service Amazon ElastiCache (Redis OSS). |
| 15 août 2024 | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) | Config.1 vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub CSPM a ajouté un paramètre de contrôle personnalisé nommé. includeConfigServiceLinkedRoleCheck En définissant ce paramètre surfalse, vous pouvez choisir de ne pas vérifier si le rôle lié au service est AWS Config utilisé. |
| 31 juillet 2024 | [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1) | Le titre de contrôle modifié des profils de AWS IoT Core sécurité doit être étiqueté en tant que profil de AWS IoT Device Defender sécurité. |
| 29 juillet 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM n'est plus pris en charge en nodejs16.x tant que paramètre. |
| 29 juillet 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. La version prise en charge la plus ancienne est1.28. |
| 25 juin 2024 | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) | Ce contrôle vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub CSPM a mis à jour le titre du contrôle pour refléter ce que le contrôle évalue. |
| 14 juin 2024 | [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34) | Ce contrôle vérifie si un cluster de base de données Amazon Aurora MySQL est configuré pour publier des journaux d'audit sur Amazon CloudWatch Logs. Security Hub CSPM a mis à jour le contrôle afin qu'il ne génère pas de résultats pour les clusters de base de données Aurora Serverless v1. |
| 11 juin 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. La version prise en charge la plus ancienne est1.27. |
| 10 juin 2024 | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) | Cette commande vérifie si elle AWS Config est activée et si l'enregistrement AWS Config des ressources est activé. Auparavant, le contrôle produisait un PASSED résultat uniquement si vous configuriez l'enregistrement pour toutes les ressources. Security Hub CSPM a mis à jour le contrôle pour produire un PASSED résultat lorsque l'enregistrement est activé pour les ressources requises pour les contrôles activés. Le contrôle a également été mis à jour pour vérifier si le rôle AWS Config lié au service est utilisé, ce qui donne les autorisations nécessaires pour enregistrer les ressources nécessaires. |
| 8 mai 2024 | [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20) | Ce contrôle vérifie si la suppression par authentification multifactorielle (MFA) est activée pour un compartiment Amazon S3 à usage général. Auparavant, le contrôle produisait un FAILED résultat pour les buckets dotés d'une configuration Lifecycle. Cependant, la suppression MFA avec gestion des versions ne peut pas être activée sur un bucket doté d'une configuration Lifecycle. Security Hub CSPM a mis à jour le contrôle afin de ne produire aucun résultat pour les buckets dotés d'une configuration Lifecycle. La description du contrôle a été mise à jour pour refléter le comportement actuel. |
| 2 mai 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Security Hub CSPM a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.26. |
| 30 avril 2024 | [[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3) | Le titre du contrôle modifié CloudTrail passe de doit être activé à Au moins une CloudTrail piste doit être activée. Ce contrôle produit actuellement un PASSED résultat si au moins Compte AWS une CloudTrail piste est activée. Le titre et la description ont été modifiés afin de refléter précisément le comportement actuel. |
| 29 avril 2024 | [[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1) | Titre de contrôle modifié : les groupes Auto Scaling associés à un Classic Load Balancer doivent utiliser des contrôles de santé de l'équilibreur de charge alors que les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles de santé ELB. Ce contrôle évalue actuellement les équilibreurs de charge d'application, de passerelle, de réseau et classiques. Le titre et la description ont été modifiés afin de refléter précisément le comportement actuel. |
| 19 avril 2024 | [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1) | Le contrôle vérifie s'il AWS CloudTrail est activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture. Auparavant, le contrôle générait des PASSED résultats de manière incorrecte lorsqu'un compte avait CloudTrail activé et configuré au moins un suivi multirégional, même si aucun journal ne capturait les événements de gestion de lecture et d'écriture. Le contrôle génère désormais un PASSED résultat uniquement lorsqu'il CloudTrail est activé et configuré avec au moins un journal multirégional qui capture les événements de gestion de lecture et d'écriture. |
| 10 avril 2024 | [Athena.1] Les groupes de travail Athena doivent être chiffrés au repos | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Les groupes de travail Athena envoient des journaux vers des compartiments Amazon Simple Storage Service (Amazon S3). Amazon S3 fournit désormais un chiffrement par défaut avec des clés gérées S3 (SS3-S3) sur les compartiments S3 nouveaux et existants. |
| 10 avril 2024 | [AutoScaling.4] La configuration de lancement du groupe Auto Scaling ne doit pas comporter de limite de sauts de réponse aux métadonnées supérieure à 1 | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Les limites des sauts de réponse aux métadonnées pour les instances Amazon Elastic Compute Cloud (Amazon EC2) dépendent de la charge de travail. |
| 10 avril 2024 | [CloudFormation.1] les CloudFormation piles doivent être intégrées au Simple Notification Service (SNS) | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. L'intégration de AWS CloudFormation stacks aux rubriques Amazon SNS n'est plus une bonne pratique en matière de sécurité. Bien qu'il puisse être utile d'intégrer des CloudFormation piles importantes à des rubriques SNS, elle n'est pas obligatoire pour toutes les piles. |
| 10 avril 2024 | [CodeBuild.5] le mode privilégié ne doit pas être activé dans les environnements de CodeBuild projet | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. L'activation du mode privilégié dans un CodeBuild projet n'impose aucun risque supplémentaire à l'environnement du client. |
| 10 avril 2024 | [IAM.20] Évitez d'utiliser l'utilisateur root | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Le but de ce contrôle est couvert par un autre contrôle,[[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1). |
| 10 avril 2024 | [SNS.2] L'enregistrement de l'état de livraison doit être activé pour les messages de notification envoyés à un sujet | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. L'enregistrement de l'état de livraison pour les rubriques SNS n'est plus une bonne pratique en matière de sécurité. Bien qu'il puisse être utile de consigner le statut de livraison pour les sujets SNS importants, il n'est pas obligatoire pour tous les sujets. |
| 10 avril 2024 | [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) | Security Hub CSPM a supprimé ce contrôle des meilleures pratiques de sécurité AWS fondamentales et de la norme de gestion des services :. AWS Control Tower L'objectif de ce contrôle est couvert par deux autres contrôles : [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) et[[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée](s3-controls.md#s3-14). Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5. |
| 10 avril 2024 | [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) | Security Hub CSPM a supprimé ce contrôle des meilleures pratiques de sécurité AWS fondamentales et de la norme de gestion des services :. AWS Control Tower Bien que les notifications d'événements pour les compartiments S3 soient utiles dans certains cas, il ne s'agit pas d'une bonne pratique universelle en matière de sécurité. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5. |
| 10 avril 2024 | [[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS](sns-controls.md#sns-1) | Security Hub CSPM a supprimé ce contrôle des meilleures pratiques de sécurité AWS fondamentales et de la norme de gestion des services :. AWS Control Tower Par défaut, SNS chiffre les sujets inactifs à l'aide du chiffrement du disque. Pour en savoir plus, consultez [Chiffrement des données](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html). L'utilisation AWS KMS pour chiffrer des sujets n'est plus recommandée en tant que bonne pratique de sécurité. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5. |
| 8 avril 2024 | [[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau](elb-controls.md#elb-6) | Le titre de contrôle modifié de la protection contre la suppression d'Application Load Balancer doit être activé vers Application, Gateway et Network Load Balancers doit avoir la protection contre la suppression activée. Ce contrôle évalue actuellement les équilibreurs de charge d'application, de passerelle et de réseau. Le titre et la description ont été modifiés afin de refléter précisément le comportement actuel. |
| 22 mars 2024 | [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8) | Le titre de contrôle modifié passe de Les connexions aux OpenSearch domaines doivent être chiffrées à l'aide du protocole TLS 1.2 à Les connexions aux OpenSearch domaines doivent être chiffrées à l'aide de la dernière politique de sécurité TLS. Auparavant, le contrôle vérifiait uniquement si les connexions aux OpenSearch domaines utilisaient le protocole TLS 1.2. Le contrôle permet désormais de déterminer si PASSED les OpenSearch domaines sont chiffrés à l'aide de la dernière politique de sécurité TLS. Le titre et la description du contrôle ont été mis à jour pour refléter le comportement actuel. |
| 22 mars 2024 | [[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8) | Le titre de contrôle modifié de Connexions aux domaines Elasticsearch doit être crypté à l'aide du protocole TLS 1.2 à celui des connexions aux domaines Elasticsearch doit être crypté à l'aide de la dernière politique de sécurité TLS. Auparavant, le contrôle vérifiait uniquement si les connexions aux domaines Elasticsearch utilisaient le protocole TLS 1.2. Le contrôle permet désormais de déterminer si les domaines Elasticsearch sont chiffrés à l'aide de la dernière politique de sécurité TLS. PASSED Le titre et la description du contrôle ont été mis à jour pour refléter le comportement actuel. |
| 12 mars 2024 | [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1) | Le titre modifié du paramètre S3 Block Public Access doit être activé pour les compartiments S3 à usage général devrait avoir les paramètres de blocage de l'accès public activés. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture](s3-controls.md#s3-2) | La modification du titre des compartiments S3 devrait interdire l'accès public en lecture. Les compartiments S3 à usage général devraient bloquer l'accès public en lecture. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture](s3-controls.md#s3-3) | La modification du titre des compartiments S3 devrait interdire l'accès public en écriture. Les compartiments S3 à usage général devraient bloquer l'accès en écriture public. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5) | Le titre modifié des compartiments S3 devrait nécessiter des demandes d'utilisation de Secure Socket Layer. Les compartiments S3 à usage général devraient nécessiter des demandes d'utilisation du protocole SSL. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6) | Le titre modifié par rapport aux autorisations S3 accordées Comptes AWS à d'autres politiques intégrées au compartiment doit être limité aux politiques de compartiment à usage général de S3 qui doivent restreindre l'accès aux autres Comptes AWS. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) | Le titre modifié des compartiments S3 doit indiquer que la réplication entre régions est activée, tandis que les compartiments S3 à usage général doivent utiliser la réplication entre régions. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) | Le titre modifié des compartiments S3 doit indiquer que la réplication entre régions est activée, tandis que les compartiments S3 à usage général doivent utiliser la réplication entre régions. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8) | Le titre modifié du paramètre S3 Block Public Access doit être activé au niveau du bucket à celui des buckets à usage général S3 doit bloquer l'accès public. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9) | Le titre modifié de la journalisation de l'accès au serveur du compartiment S3 doit être activé à la journalisation de l'accès au serveur doit être activée pour les compartiments à usage général S3. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10) | Le titre modifié des compartiments S3 avec le versionnement activé doit avoir des politiques de cycle de vie configurées, tandis que les compartiments S3 à usage général avec le versionnement activé doivent avoir des configurations de cycle de vie. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11) | Le titre modifié des compartiments S3 devrait avoir les notifications d'événements activées alors que les compartiments S3 à usage général devraient avoir les notifications d'événements activées. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12) | Le titre modifié des listes de contrôle d'accès S3 (ACLs) ne doit pas être utilisé pour gérer l'accès des utilisateurs aux ACLs compartiments ni pour gérer l'accès des utilisateurs aux compartiments à usage général S3. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13) | Le titre modifié des compartiments S3 doit avoir des politiques de cycle de vie configurées alors que les compartiments S3 à usage général doivent avoir des configurations de cycle de vie. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée](s3-controls.md#s3-14) | Le titre modifié des compartiments S3 doit utiliser la gestion des versions alors que les compartiments S3 à usage général doivent avoir la fonction de version activée. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général](s3-controls.md#s3-15) | Le titre modifié des compartiments S3 doit être configuré pour utiliser le verrouillage des objets. Les compartiments S3 à usage général doivent avoir le verrouillage des objets activé. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17) | Le titre modifié des compartiments S3 doit être chiffré au repos par des compartiments S3 AWS KMS keysà usage général avec lesquels les compartiments S3 doivent être chiffrés au repos. AWS KMS keys Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 07 mars 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge nodejs20.x et en ruby3.3 tant que paramètres. |
| 22 février 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en dotnet8 tant que paramètre. |
| 5 février 2024 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Security Hub CSPM a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.25. |
| 10 janvier 2024 | [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) | Le titre modifié par rapport au référentiel source Bitbucket CodeBuild GitHub ou OAuth à utiliser pour le référentiel URLs source CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles. Security Hub CSPM a supprimé la mention OAuth car d'autres méthodes de connexion peuvent également être sécurisées. Security Hub CSPM a supprimé la mention GitHub car il n'est plus possible d'avoir un jeton d'accès personnel ou un nom d'utilisateur et un mot de passe dans le référentiel GitHub source. URLs |
| 8 janvier 2024 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge go1.x et en java8 tant que paramètres car il s'agit d'environnements d'exécution retirés. |
| 29 décembre 2023 | [[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée](rds-controls.md#rds-8) | RDS.8 vérifie si la protection contre la suppression est activée sur une instance de base de données Amazon RDS qui utilise l'un des moteurs de base de données pris en charge. Security Hub CSPM prend désormais en charge custom-oracle-eeoracle-ee-cdb, et en oracle-se2-cdb tant que moteurs de base de données. |
| 22 décembre 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge java21 et en python3.12 tant que paramètres. Security Hub CSPM n'est plus pris en charge en ruby2.7 tant que paramètre. |
| 15 décembre 2023 | [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1) | CloudFront.1 vérifie si un objet racine par défaut est configuré pour une CloudFront distribution Amazon. Security Hub CSPM a réduit le niveau de sévérité de ce contrôle de CRITIQUE à ÉLEVÉ, car l'ajout de l'objet racine par défaut est une recommandation qui dépend de l'application de l'utilisateur et des exigences spécifiques. |
| 5 décembre 2023 | [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) | Le titre du contrôle a été modifié : les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 vers les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22. |
| 5 décembre 2023 | [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) | Le titre du contrôle est passé de « Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée depuis 0.0.0.0/0 vers le port 3389 » à « Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 ». |
| 5 décembre 2023 | [[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-9) | Le titre de contrôle modifié de la journalisation de la base de données doit être activé pour que les instances de base de données RDS publient les journaux dans les CloudWatch journaux. Security Hub CSPM a identifié que ce contrôle vérifie uniquement si les journaux sont publiés sur Amazon CloudWatch Logs et ne vérifie pas si les journaux RDS sont activés. Le contrôle permet de déterminer si PASSED les instances de base de données RDS sont configurées pour publier des journaux dans CloudWatch Logs. Le titre du contrôle a été mis à jour pour refléter le comportement actuel. |
| 5 décembre 2023 | [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8) | Ce contrôle vérifie si la journalisation des audits est activée sur les clusters Amazon EKS. La AWS Config règle utilisée par Security Hub CSPM pour évaluer ce contrôle est passée de àeks-cluster-logging-enabled. eks-cluster-log-enabled |
| 17 novembre 2023 | [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19) | L'EC2.19 vérifie si le trafic entrant non restreint pour un groupe de sécurité est accessible aux ports spécifiés considérés comme présentant un risque élevé. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 novembre 2023 | [[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées](cloudwatch-controls.md#cloudwatch-15) | Le titre de contrôle modifié, passant d'CloudWatch une alarme à une action configurée pour l'état ALARM, doit être CloudWatch remplacée par une action spécifiée configurée pour les alarmes. |
| 16 novembre 2023 | [[CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée](cloudwatch-controls.md#cloudwatch-16) | Le titre de contrôle modifié des groupes de CloudWatch journaux doit être conservé pendant au moins un an alors que les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée. |
| 16 novembre 2023 | [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5) | Titre de contrôle modifié, les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité et les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité. |
| 16 novembre 2023 | [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2) | Le titre de contrôle modifié de AWS AppSync devrait avoir activé la journalisation au niveau de la demande et au niveau du champ pour activer la journalisation auAWS AppSync niveau du champ. |
| 16 novembre 2023 | [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1) | Titre de contrôle modifié : les nœuds principaux du MapReduce cluster Amazon Elastic ne doivent pas avoir d'adresse IP publique alors que les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresse IP publique. |
| 16 novembre 2023 | [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) | Le titre de contrôle modifié, OpenSearch les domaines doivent se trouver dans un VPC et les OpenSearchdomaines ne doivent pas être accessibles au public. |
| 16 novembre 2023 | [[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2) | Le titre de contrôle modifié, les domaines Elasticsearch doivent figurer dans un VPC et les domaines Elasticsearch ne doivent pas être accessibles au public. |
| 31 octobre 2023 | [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4) | ES.4 vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d'erreurs à Amazon Logs. CloudWatch Le contrôle a précédemment produit une PASSED recherche pour un domaine Elasticsearch dont tous les journaux étaient configurés pour être envoyés à CloudWatch Logs. Security Hub CSPM a mis à jour le contrôle afin de générer une PASSED recherche uniquement pour un domaine Elasticsearch configuré pour envoyer des journaux d'erreurs à Logs. CloudWatch Le contrôle a également été mis à jour pour exclure de l'évaluation les versions d'Elasticsearch qui ne prennent pas en charge les journaux d'erreurs. |
| 16 octobre 2023 | [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) | L'EC2.13 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 22. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 octobre 2023 | [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) | EC2.14 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 3389. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 octobre 2023 | [[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés](ec2-controls.md#ec2-18) | L'EC2.18 vérifie si les groupes de sécurité utilisés autorisent le trafic entrant sans restriction. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 octobre 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en python3.11 tant que paramètre. |
| 4 octobre 2023 | [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) | Security Hub CSPM a ajouté le paramètre ReplicationType avec la valeur de CROSS-REGION pour garantir que la réplication entre régions est activée dans les compartiments S3 plutôt que la réplication entre régions. |
| 27 septembre 2023 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | Security Hub CSPM a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.24. |
| 20 septembre 2023 | [CloudFront.2] l'identité d'accès à l'origine doit être activée pour les CloudFront distributions | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Reportez-vous plutôt à la section [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13). Le contrôle d'accès à l'origine est la meilleure pratique de sécurité actuelle. Ce contrôle sera supprimé de la documentation dans 90 jours. |
| 20 septembre 2023 | [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22) | Security Hub CSPM a supprimé ce contrôle de AWS Foundational Security Best Practices (FSBP) et du National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Il fait toujours partie de Service-Managed Standard :. AWS Control Tower Ce contrôle produit un résultat positif si des groupes de sécurité sont attachés à des instances EC2 ou à une interface elastic network. Toutefois, dans certains cas d'utilisation, les groupes de sécurité indépendants ne présentent aucun risque de sécurité. Vous pouvez utiliser d'autres contrôles EC2, tels que EC2.2, EC2.13, EC2.14, EC2.18 et EC2.19, pour surveiller vos groupes de sécurité. |
| 20 septembre 2023 | [EC2.29] Les instances EC2 doivent être lancées dans un VPC | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Amazon EC2 a migré des instances EC2-Classic vers un VPC. Ce contrôle sera supprimé de la documentation dans 90 jours. |
| 20 septembre 2023 | [S3.4] Le chiffrement côté serveur doit être activé pour les compartiments S3 | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Amazon S3 fournit désormais un chiffrement par défaut avec des clés gérées S3 (SS3-S3) sur les compartiments S3 nouveaux et existants. Les paramètres de chiffrement restent inchangés pour les compartiments existants chiffrés avec le chiffrement côté serveur SS3 -S3 ou SS3 -KMS. Ce contrôle sera supprimé de la documentation dans 90 jours. |
| 14 septembre 2023 | [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) | Titre de contrôle modifié : le groupe de sécurité par défaut du VPC ne doit pas autoriser le trafic entrant et sortant est remplacé par le groupe de sécurité par défaut du VPC ne doit pas autoriser le trafic entrant ou sortant. |
| 14 septembre 2023 | [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) | Le titre de contrôle modifié de Virtual MFA doit être activé pour l'utilisateur root à MFA doit être activé pour l'utilisateur root. |
| 14 septembre 2023 | [[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster](rds-controls.md#rds-19) | Le titre du contrôle a été modifié, passant d'un abonnement aux notifications d'événements RDS pour les événements critiques du cluster à un abonnement aux notifications d'événements RDS existant doit être configuré pour les événements critiques du cluster. |
| 14 septembre 2023 | [[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20) | Le titre de contrôle a été modifié, passant d'un abonnement aux notifications d'événements RDS pour les événements critiques d'instance de base de données à un abonnement aux notifications d'événements RDS existant doit être configuré pour les événements critiques d'instance de base de données. |
| 14 septembre 2023 | [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2) | Titre de contrôle modifié d'une règle régionale WAF doit comporter au moins une condition à une règle régionale AWS WAF classique doit comporter au moins une condition. |
| 14 septembre 2023 | [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3) | Le titre de contrôle est passé d'un groupe de règles régional WAF doit comporter au moins une règle à un groupe de règles régional AWS WAF classique qui doit avoir au moins une règle. |
| 14 septembre 2023 | [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4) | Le titre de contrôle a été modifié, passant d'un ACL Web régional WAF doit comporter au moins une règle ou un groupe de règles à un site Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles. |
| 14 septembre 2023 | [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6) | Titre de contrôle modifié, passant d'une règle globale WAF doit comporter au moins une condition à Une règle globale AWS WAF classique doit comporter au moins une condition. |
| 14 septembre 2023 | [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7) | Le titre du contrôle est passé d'un groupe de règles global WAF doit comporter au moins une règle à un groupe de règles global AWS WAF classique doit avoir au moins une règle. |
| 14 septembre 2023 | [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8) | Le titre de contrôle a été modifié, passant d'une ACL Web globale WAF doit comporter au moins une règle ou un groupe de règles à un Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles. |
| 14 septembre 2023 | [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10) | Titre de contrôle modifié de Une ACL WAFv2 Web doit comporter au moins une règle ou un groupe de règles à AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles. |
| 14 septembre 2023 | [[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11) | Le titre de contrôle modifié de la journalisation de l'ACL Web AWS WAF v2 doit être activé à la journalisation de l'ACL AWS WAF Web doit être activée. |
| 20 juillet 2023 | [S3.4] Le chiffrement côté serveur doit être activé pour les compartiments S3 | S3.4 vérifie si le chiffrement côté serveur est activé sur un compartiment Amazon S3 ou si la politique du compartiment S3 refuse explicitement les PutObject demandes sans chiffrement côté serveur. Security Hub CSPM a mis à jour ce contrôle pour inclure un chiffrement double couche côté serveur avec des clés KMS (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE-S3, SSE-KMS ou DSSE-KMS. |
| 17 juillet 2023 | [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17) | S3.17 vérifie si un compartiment Amazon S3 est chiffré avec un. AWS KMS key Security Hub CSPM a mis à jour ce contrôle pour inclure un chiffrement double couche côté serveur avec des clés KMS (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE-KMS ou DSSE-KMS. |
| 9 juin 2023 | [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2) | EKS.2 vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est maintenant. 1.23 |
| 9 juin 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en ruby3.2 tant que paramètre. |
| 5 juin 2023 | [[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5) | APIGateway.5. vérifie si toutes les méthodes des étapes de l'API REST d'Amazon API Gateway sont chiffrées au repos. Security Hub CSPM a mis à jour le contrôle pour évaluer le chiffrement d'une méthode particulière uniquement lorsque la mise en cache est activée pour cette méthode. |
| 18 mai 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en java17 tant que paramètre. |
| 18 mai 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM n'est plus pris en charge en nodejs12.x tant que paramètre. |
| 23 avril 2023 | [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10) | ECS.10 vérifie si les services Amazon ECS Fargate exécutent la dernière version de la plateforme Fargate. Les clients peuvent déployer Amazon ECS par le biais d'ECS directement ou en utilisant CodeDeploy. Security Hub CSPM a mis à jour ce contrôle pour produire des résultats réussis lorsque vous l'utilisez CodeDeploy pour déployer les services ECS Fargate. |
| 20 avril 2023 | [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6) | S3.6 vérifie si une politique de compartiment Amazon Simple Storage Service (Amazon S3) empêche les principaux tiers Comptes AWS d'effectuer des actions refusées sur les ressources du compartiment S3. Security Hub CSPM a mis à jour le contrôle pour tenir compte des conditions dans une politique de compartiment. |
| 18 avril 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en python3.10 tant que paramètre. |
| 18 avril 2023 | [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2) | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM n'est plus pris en charge en dotnetcore3.1 tant que paramètre. |
| 17 avril 2023 | [[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS](rds-controls.md#rds-11) | RDS.11 vérifie si les instances Amazon RDS ont activé les sauvegardes automatisées, avec une période de conservation des sauvegardes supérieure ou égale à sept jours. Security Hub CSPM a mis à jour ce contrôle pour exclure les répliques en lecture de l'évaluation, car tous les moteurs ne prennent pas en charge les sauvegardes automatiques sur les répliques en lecture. En outre, RDS ne permet pas de spécifier une période de conservation des sauvegardes lors de la création de répliques en lecture. Les répliques en lecture sont créées avec une période de conservation des sauvegardes 0 par défaut. |
# Contrôles Security Hub CSPM pour Comptes AWS
Ces contrôles Security Hub CSPM évaluent. Comptes AWS
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.2, NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un compte Amazon Web Services (AWS) possède des informations de contact de sécurité. Le contrôle échoue si les coordonnées de sécurité ne sont pas fournies pour le compte.
Les contacts de sécurité alternatifs permettent AWS de contacter une autre personne à propos de problèmes liés à votre compte au cas où vous ne seriez pas disponible. Les notifications peuvent provenir d' Supportéquipes ou d'autres Service AWS équipes concernant des sujets liés à la sécurité associés à votre Compte AWS utilisation.
### Correction
Pour ajouter un autre contact en tant que contact de sécurité à votre compte Compte AWS, voir [Mettre à jour les contacts alternatifs pour vous Compte AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) dans le *Guide de référence de gestion de AWS compte*.
## [Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un Compte AWS fait partie d'une organisation gérée via AWS Organizations. Le contrôle échoue si le compte ne fait pas partie d'une organisation.
Organizations vous aide à gérer votre environnement de manière centralisée à mesure que vous adaptez vos charges de travail. AWS Vous pouvez en utiliser plusieurs Comptes AWS pour isoler les charges de travail soumises à des exigences de sécurité spécifiques ou pour vous conformer à des frameworks tels que HIPAA ou PCI. En créant une organisation, vous pouvez administrer plusieurs comptes en tant qu'unité unique et gérer de manière centralisée leur accès Services AWS, leurs ressources et leurs régions.
### Correction
Pour créer une nouvelle organisation et y ajouter automatiquement des informations Comptes AWS , consultez la section [Création d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) dans le *Guide de AWS Organizations l'utilisateur*. Pour ajouter des comptes à une organisation existante, voir [Inviter un homme Compte AWS à rejoindre votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) dans le *Guide de AWS Organizations l'utilisateur*.
# Contrôles Security Hub CSPM pour AWS Amplify
Ces contrôles CSPM du Security Hub évaluent le AWS Amplify service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Amplify.1] Les applications Amplify doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Amplify::App`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « 4 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS Amplify application possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si l'application ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'application n'en possède aucune. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une AWS Amplify application, consultez la section [Assistance au balisage des ressources](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) dans le *guide de l'utilisateur de l'AWS Amplify hébergement*.
## [Amplify .2] Les branches Amplify doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Amplify::Branch`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « 4 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS Amplify branche possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la branche ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la branche ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une AWS Amplify branche, consultez la section [Support du balisage des ressources](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) dans le *Guide de l'utilisateur de l'AWS Amplify hébergement*.
# Contrôles CSPM de Security Hub pour Amazon API Gateway
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon API Gateway. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :**`AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `loggingLevel` | Logging level (Niveau de journalisation) | Enum | `ERROR`, `INFO` | `No default value` |
Ce contrôle vérifie si la journalisation est activée à toutes les étapes d'un REST ou WebSocket d'une API Amazon API Gateway. Le contrôle échoue si `loggingLevel` ce n'est pas le cas `ERROR` ou `INFO` pour toutes les étapes de l'API. À moins que vous ne fournissiez des valeurs de paramètres personnalisées pour indiquer qu'un type de journal spécifique doit être activé, Security Hub CSPM produit un résultat positif si le niveau de journalisation est l'un ou `ERROR` l'autre. `INFO`
Les logs pertinents doivent être activés dans les stages WebSocket REST ou API Gateway. Le protocole REST d' WebSocket API Gateway et la journalisation de l'exécution des API fournissent des enregistrements détaillés des demandes adressées aux étapes WebSocket REST et API Gateway. Les étapes incluent les réponses du backend d'intégration des API, les réponses de l'autorisateur Lambda et `requestId` les points de terminaison d'intégration. AWS
### Correction
Pour activer la journalisation pour les opérations WebSocket REST et API, consultez la section [Configurer la journalisation des CloudWatch API à l'aide de la console API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) dans le *guide du développeur d'API Gateway*.
## [APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.R2 3.13.15
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGateway::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si des certificats SSL sont configurés sur les stages de l'API REST Amazon API Gateway. Les systèmes principaux utilisent ces certificats pour vérifier que les demandes entrantes proviennent d'API Gateway.
Les étapes de l'API REST d'API Gateway doivent être configurées avec des certificats SSL pour permettre aux systèmes principaux d'authentifier que les demandes proviennent d'API Gateway.
### Correction
Pour obtenir des instructions détaillées sur la façon de générer et de configurer les certificats SSL de l'API REST d'API Gateway, consultez la section [Générer et configurer un certificat SSL pour l'authentification du backend](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) dans le *guide du développeur d'API Gateway*.
## [APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway
**Exigences connexes :** NIST.800-53.r5 CA-7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :** `AWS::ApiGateway::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le suivi AWS X-Ray actif est activé pour vos étapes d'API REST Amazon API Gateway.
Le traçage actif X-Ray permet de réagir plus rapidement aux changements de performances de l'infrastructure sous-jacente. Les modifications des performances peuvent entraîner un manque de disponibilité de l'API. Le suivi actif de X-Ray fournit des mesures en temps réel des demandes des utilisateurs qui transitent par le biais des opérations de l'API REST API Gateway et des services connectés.
### Correction
Pour obtenir des instructions détaillées sur la façon d'activer le suivi actif X-Ray pour les opérations de l'API REST d'[API Gateway, consultez le support du suivi actif d'Amazon API Gateway AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) dans le *manuel du AWS X-Ray développeur*.
## [APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF
**Exigences connexes :** NIST.800-53.r5 AC-4 (21)
**Catégorie :** Protéger > Services de protection
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGateway::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un stage d'API Gateway utilise une liste de contrôle d'accès AWS WAF Web (ACL). Ce contrôle échoue si aucune ACL AWS WAF Web n'est attachée à un stage REST API Gateway.
AWS WAF est un pare-feu pour applications Web qui aide à protéger les applications Web APIs contre les attaques. Il vous permet de configurer une ACL, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage API Gateway est associé à une ACL AWS WAF Web afin de le protéger contre les attaques malveillantes.
### Correction
Pour plus d'informations sur l'utilisation de la console API Gateway pour associer une ACL Web AWS WAF régionale à un stage d'API API Gateway existant, consultez la section [Utiliser AWS WAF pour vous protéger APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) dans le *guide du développeur d'API Gateway*.
## [APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger - Protection des données - Chiffrement des données au repos
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGateway::Stage`
**AWS Config règle :** `api-gw-cache-encrypted` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si toutes les méthodes des stages d'API REST d'API Gateway dont le cache est activé sont cryptées. Le contrôle échoue si l'une des méthodes d'un stage d'API REST d'API Gateway est configurée pour le cache et que le cache n'est pas crypté. Security Hub CSPM évalue le chiffrement d'une méthode particulière uniquement lorsque la mise en cache est activée pour cette méthode.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Il ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, les autorisations d'API sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues.
Les caches d'API REST d'API Gateway doivent être chiffrés au repos pour renforcer la sécurité.
### Correction
Pour configurer la mise en cache d'API pour une étape, consultez la section [Activer la mise en cache d'Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) dans le guide du *développeur d'API Gateway*. Dans **Paramètres du cache**, choisissez **Chiffrer les données du cache**.
## [APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
**Exigences connexes :** NIST.800-53.r5 AC-3, NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Protection > Gestion des accès sécurisés
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGatewayV2::Route`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `authorizationType` | Type d'autorisation des routes d'API | Enum | `AWS_IAM`, `CUSTOM`, `JWT` | Aucune valeur par défaut |
Ce contrôle vérifie si les routes Amazon API Gateway possèdent un type d'autorisation. Le contrôle échoue si la route API Gateway ne possède aucun type d'autorisation. Vous pouvez éventuellement fournir une valeur de paramètre personnalisée si vous souhaitez que le contrôle soit transmis uniquement si l'itinéraire utilise le type d'autorisation spécifié dans le `authorizationType` paramètre.
API Gateway prend en charge plusieurs mécanismes pour contrôler et gérer l’accès à votre API. En spécifiant un type d'autorisation, vous pouvez restreindre l'accès à votre API aux seuls utilisateurs ou processus autorisés.
### Correction
Pour définir un type d'autorisation pour HTTP APIs, consultez la section [Contrôle et gestion de l'accès à une API HTTP dans API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) dans le *guide du développeur d'API Gateway*. Pour définir un type d'autorisation pour WebSocket APIs, consultez la section [Contrôle et gestion de l'accès à une WebSocket API dans API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) dans le *Guide du développeur d'API Gateway*.
## [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGatewayV2::Stage`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des accès est configurée pour les stages Amazon API Gateway V2. Ce contrôle échoue si les paramètres du journal d'accès ne sont pas définis.
Les journaux d'accès à API Gateway fournissent des informations détaillées sur les personnes qui ont accédé à votre API et sur la manière dont l'appelant a accédé à l'API. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Activez ces journaux d'accès pour analyser les modèles de trafic et résoudre les problèmes.
Pour connaître les meilleures pratiques supplémentaires, consultez la section [Monitoring REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) dans le *guide du développeur d'API Gateway*.
### Correction
Pour configurer la journalisation des accès, consultez la section [Configurer la journalisation des CloudWatch API à l'aide de la console API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) dans le *guide du développeur d'API Gateway*.
## [APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ApiGatewayV2::Integration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le protocole HTTPS est activé pour les connexions privées lors d'une intégration API Gateway V2. Le contrôle échoue si le protocole TLS n'est pas configuré pour une connexion privée.
Les liens VPC connectent API Gateway à des ressources privées. Bien que les liens VPC créent une connectivité privée, ils ne chiffrent pas intrinsèquement les données. La configuration du protocole TLS garantit l'utilisation du protocole HTTPS pour end-to-end le chiffrement depuis le client jusqu'au backend via API Gateway. Sans TLS, le trafic API sensible circule de manière non chiffrée sur les connexions privées. Le chiffrement HTTPS protège le trafic via les connexions privées contre l'interception des données, man-in-the-middle les attaques et l'exposition aux informations d'identification.
### Correction
Pour activer le chiffrement en transit pour les connexions privées dans le cadre d'une intégration API Gateway v2, consultez la section [Mettre à jour une intégration privée](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) dans le manuel *Amazon API Gateway Developer Guide*. Configurez [la configuration TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) afin que l'intégration privée utilise le protocole HTTPS.
# Contrôles Security Hub CSPM pour AWS AppConfig
Ces contrôles CSPM du Security Hub évaluent le AWS AppConfig service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AppConfig.1] AWS AppConfig les applications doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppConfig::Application`
**Règle AWS Config :** `appconfig-application-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS AppConfig application possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'application ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'application n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une AWS AppConfig application, reportez-vous [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)à la *référence des AWS AppConfig API*.
## [AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppConfig::ConfigurationProfile`
**Règle AWS Config :** `appconfig-configuration-profile-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un profil AWS AppConfig de configuration comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le profil de configuration ne possède aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le profil de configuration n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un profil de AWS AppConfig configuration, consultez [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)la *référence de l'AWS AppConfig API*.
## [AppConfig.3] AWS AppConfig les environnements doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppConfig::Environment`
**Règle AWS Config :** `appconfig-environment-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS AppConfig environnement possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'environnement ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'environnement n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un AWS AppConfig environnement, reportez-vous [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)à la *référence des AWS AppConfig API*.
## [AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppConfig::ExtensionAssociation`
**Règle AWS Config :** `appconfig-extension-association-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une association d' AWS AppConfig extensions possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'association d'extensions ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'association d'extension n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une association d' AWS AppConfig extensions, consultez [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)la *référence de l'AWS AppConfig API*.
# Contrôles Security Hub CSPM pour Amazon AppFlow
Ces contrôles CSPM du Security Hub évaluent le AppFlow service et les ressources Amazon.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AppFlow.1] Les AppFlow flux Amazon doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppFlow::Flow`
**Règle AWS Config :** `appflow-flow-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AppFlow flux Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le flux ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le flux n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un AppFlow flux Amazon, consultez la section [Création de flux dans Amazon AppFlow](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) dans le *guide de AppFlow l'utilisateur Amazon*.
# Contrôles Security Hub CSPM pour AWS App Runner
Ces AWS Security Hub CSPM contrôles évaluent le AWS App Runner service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AppRunner.1] Les services App Runner doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppRunner::Service`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS App Runner service possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le service App Runner ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le service App Runner n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS App Runner service, consultez [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)la *référence des AWS App Runner API*.
## [AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppRunner::VpcConnector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un connecteur AWS App Runner VPC possède des balises avec les clés spécifiques définies dans le paramètre. `requiredKeyTags` Le contrôle échoue si le connecteur VPC ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre. `requiredKeyTags` Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le connecteur VPC n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour plus d'informations sur l'ajout de balises à un connecteur AWS App Runner VPC, consultez la [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)référence des *AWS App Runner API*.
# Security Hub CSPM contrôle pour AWS AppSync
Ces contrôles CSPM du Security Hub évaluent le AWS AppSync service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos
**Important**
Security Hub CSPM a retiré ce contrôle le 9 mars 2026. Pour plus d'informations, consultez[Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md). AWS AppSync fournit désormais un chiffrement par défaut sur tous les caches d'API actuels et futurs.
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::AppSync::GraphQLApi`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le cache d'une AWS AppSync API est chiffré au repos. Le contrôle échoue si le cache de l'API n'est pas chiffré au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Vous ne pouvez pas modifier les paramètres de chiffrement après avoir activé la mise en cache pour votre AWS AppSync API. Vous devez plutôt supprimer le cache et le recréer avec le chiffrement activé. Pour plus d'informations, consultez la section [Chiffrement du cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) dans le *Guide du AWS AppSync développeur*.
## [AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::AppSync::GraphQLApi`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `fieldLoggingLevel` | Niveau d'enregistrement des champs | Enum | `ERROR`, `ALL`, `INFO`, `DEBUG` | `No default value` |
Ce contrôle vérifie si la journalisation au niveau du champ est activée pour une AWS AppSync API. Le contrôle échoue si le niveau de journalisation du résolveur de champs est défini sur **Aucun**. À moins que vous ne fournissiez des valeurs de paramètres personnalisées pour indiquer qu'un type de journal spécifique doit être activé, Security Hub CSPM produit un résultat positif si le niveau de journal du résolveur de champs est l'un ou l'autre. `ERROR` `ALL`
Vous pouvez utiliser la journalisation et les métriques pour identifier, dépanner et optimiser vos requêtes GraphQL. L'activation de la journalisation pour AWS AppSync GraphQL vous permet d'obtenir des informations détaillées sur les demandes et réponses des API, d'identifier les problèmes et d'y répondre, et de vous conformer aux exigences réglementaires.
### Correction
Pour activer la journalisation AWS AppSync, reportez-vous à la section [Configuration et configuration](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) du *Guide du AWS AppSync développeur*.
## [AppSync.4] AWS AppSync GraphQL APIs doit être balisé
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AppSync::GraphQLApi`
**AWS Config règle :** `tagged-appsync-graphqlapi` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une API AWS AppSync GraphQL possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'API GraphQL ne possède aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre. `requiredTagKeys` Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'API GraphQL n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une API AWS AppSync GraphQL, consultez la [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)référence des *AWS AppSync API*.
## [AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Élevée
**Type de ressource :** `AWS::AppSync::GraphQLApi`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (non personnalisable)
Ce contrôle vérifie si votre application utilise une clé d'API pour interagir avec une API AWS AppSync GraphQL. Le contrôle échoue si une API AWS AppSync GraphQL est authentifiée à l'aide d'une clé d'API.
Une clé d'API est une valeur codée en dur dans votre application qui est générée par le AWS AppSync service lorsque vous créez un point de terminaison GraphQL non authentifié. Si cette clé d'API est compromise, votre terminal est vulnérable à un accès involontaire. À moins que vous ne souteniez une application ou un site Web accessible au public, nous vous déconseillons d'utiliser une clé d'API pour l'authentification.
### Correction
Pour définir une option d'autorisation pour votre API AWS AppSync GraphQL, consultez la section [Autorisation et authentification](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) dans le Guide du *AWS AppSync développeur*.
## [AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport
**Important**
Security Hub CSPM a retiré ce contrôle le 9 mars 2026. Pour plus d'informations, consultez[Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md). AWS AppSync fournit désormais un chiffrement par défaut sur tous les caches d'API actuels et futurs.
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::AppSync::ApiCache`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le cache d'une AWS AppSync API est chiffré en transit. Le contrôle échoue si le cache de l'API n'est pas chiffré pendant le transfert.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
Vous ne pouvez pas modifier les paramètres de chiffrement après avoir activé la mise en cache pour votre AWS AppSync API. Vous devez plutôt supprimer le cache et le recréer avec le chiffrement activé. Pour plus d'informations, consultez la section [Chiffrement du cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) dans le *Guide du AWS AppSync développeur*.
# Contrôles CSPM du Security Hub pour Amazon Athena
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Athena. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Athena.1] Les groupes de travail Athena doivent être chiffrés au repos
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Catégorie :** Protéger - Protection des données - Chiffrement des données au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Gravité :** Moyenne
**Type de ressource :** `AWS::Athena::WorkGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de travail Athena est chiffré au repos. Le contrôle échoue si un groupe de travail Athena n'est pas chiffré au repos.
Dans Athena, vous pouvez créer des groupes de travail pour exécuter des requêtes pour des équipes, des applications ou différentes charges de travail. Chaque groupe de travail dispose d'un paramètre permettant d'activer le chiffrement de toutes les requêtes. Vous avez la possibilité d'utiliser le chiffrement côté serveur avec les clés gérées par Amazon Simple Storage Service (Amazon S3), le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) ou le chiffrement côté client avec des clés KMS gérées par le client. Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
*Pour activer le chiffrement au repos pour les groupes de travail Athena, consultez [Modifier un groupe de travail dans le guide de](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) l'utilisateur d'Amazon Athena.* Dans la section **Configuration des résultats de requête**, sélectionnez **Chiffrer les résultats de la requête**.
## [Athena.2] Les catalogues de données Athena doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Athena::DataCatalog`
**AWS Config règle :** `tagged-athena-datacatalog` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un catalogue de données Amazon Athena comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le catalogue de données ne possède aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le catalogue de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un catalogue de données Athena, consultez la section [Marquage des ressources Athena dans le guide de l'utilisateur d'Amazon *Athena*](https://docs.aws.amazon.com/athena/latest/ug/tags.html).
## [Athena.3] Les groupes de travail Athena doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Athena::WorkGroup`
**AWS Config règle :** `tagged-athena-workgroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un groupe de travail Amazon Athena possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le groupe de travail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de travail n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un groupe de travail Athena, consultez la section [Ajouter et supprimer des balises sur un groupe de travail individuel dans le guide de l'utilisateur](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) d'Amazon Athena.*
## [Athena.4] La journalisation des groupes de travail Athena doit être activée
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Athena::WorkGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée dans un groupe de travail Amazon Athena. Le contrôle échoue si la journalisation n'est pas activée dans le groupe de travail.
Les journaux d'audit suivent et surveillent les activités du système. Ils fournissent un enregistrement des événements qui peut vous aider à détecter les failles de sécurité, à enquêter sur les incidents et à vous conformer aux réglementations. Les journaux d'audit améliorent également la responsabilité globale et la transparence de votre organisation.
### Correction
*Pour plus d'informations sur l'activation de la journalisation pour un groupe de travail Athena, consultez la section [Activer les métriques de CloudWatch requête dans Athena dans le guide de l'utilisateur](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html) d'Amazon Athena.*
# Contrôles Security Hub CSPM pour AWS Backup
Ces contrôles CSPM du Security Hub évaluent le AWS Backup service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Backup::RecoveryPoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un point AWS Backup de restauration est chiffré au repos. Le contrôle échoue si le point de restauration n'est pas chiffré au repos.
Un point de AWS Backup restauration fait référence à une copie ou à un instantané spécifique des données créé dans le cadre d'un processus de sauvegarde. Il représente un moment précis où les données ont été sauvegardées et sert de point de restauration au cas où les données d'origine seraient perdues, corrompues ou inaccessibles. Le chiffrement des points de restauration des sauvegardes ajoute une couche de protection supplémentaire contre les accès non autorisés. Le chiffrement est une bonne pratique pour protéger la confidentialité, l'intégrité et la sécurité des données de sauvegarde.
### Correction
Pour chiffrer un point de AWS Backup restauration, consultez la section [Chiffrement des sauvegardes AWS Backup dans](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) le *Guide du AWS Backup développeur*.
## [Backup.2] les points de AWS Backup restauration doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::RecoveryPoint`
**AWS Config règle :** `tagged-backup-recoverypoint` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un point AWS Backup de récupération possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le point de récupération ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point de récupération n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un point AWS Backup de récupération**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Dans le panneau de navigation, choisissez **Backup plans (Plans de sauvegarde)**.
1. Sélectionnez un plan de sauvegarde dans la liste.
1. Dans la section **Balises du plan de sauvegarde**, sélectionnez **Gérer les balises**.
1. Entrez la clé et la valeur de la balise. Choisissez **Ajouter une nouvelle balise** pour des paires clé-valeur supplémentaires.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## Les AWS Backup coffres-forts [Backup.3] doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::BackupVault`
**AWS Config règle :** `tagged-backup-backupvault` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Backup coffre possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le point de récupération ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point de récupération n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un AWS Backup coffre-fort**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.
1. Sélectionnez un coffre-fort de sauvegarde dans la liste.
1. Dans la section **Backup vault tags**, sélectionnez **Manage tags**.
1. Entrez la clé et la valeur de la balise. Choisissez **Ajouter une nouvelle balise** pour des paires clé-valeur supplémentaires.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [Backup.4] Les plans de AWS Backup rapport doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::ReportPlan`
**AWS Config règle :** `tagged-backup-reportplan` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un plan de AWS Backup rapport comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le plan de rapport ne comporte aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le plan de rapport n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un plan de AWS Backup rapport**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.
1. Sélectionnez un coffre-fort de sauvegarde dans la liste.
1. Dans la section **Backup vault tags**, sélectionnez **Manage tags**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [Backup.5] les plans de AWS Backup sauvegarde doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Backup::BackupPlan`
**AWS Config règle :** `tagged-backup-backupplan` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un plan AWS Backup de sauvegarde comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le plan de sauvegarde ne comporte aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le plan de sauvegarde n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un plan AWS Backup de sauvegarde**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, choisissez **Backup vaults (Coffres-forts de sauvegarde)**.
1. Sélectionnez un coffre-fort de sauvegarde dans la liste.
1. Dans la section **Backup vault tags**, sélectionnez **Manage tags**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
# Contrôles Security Hub CSPM pour AWS Batch
Ces contrôles CSPM du Security Hub évaluent le AWS Batch service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Batch::JobQueue`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une file d'attente de AWS Batch tâches comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la file d'attente de tâches ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la file d'attente de tâches n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une file d'attente de tâches Batch, consultez la section [Marquer vos ressources](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) dans le *guide de AWS Batch l'utilisateur*.
## [Batch.2] Les politiques de planification par lots doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Batch::SchedulingPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une politique de AWS Batch planification comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la politique de planification ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la politique de planification n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une politique de planification par lots, consultez la section [Marquer vos ressources](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) dans le *guide de AWS Batch l'utilisateur*.
## [Batch.3] Les environnements de calcul par lots doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Batch::ComputeEnvironment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un environnement AWS Batch informatique possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'environnement de calcul ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'environnement de calcul n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un environnement de calcul Batch, consultez la section [Marquer vos ressources](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) dans le *guide de AWS Batch l'utilisateur*.
## [Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Batch::ComputeEnvironment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « 2 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si la propriété des ressources de calcul dans un environnement AWS Batch informatique géré possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la propriété des ressources de calcul ne possède aucune clé de balise ou si toutes les clés spécifiées par le `requiredKeyTags` paramètre ne sont pas présentes. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si une propriété de ressources de calcul ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe. Ce contrôle n'évalue pas les environnements informatiques non gérés ni les environnements gérés qui utilisent des AWS Fargate ressources.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises aux ressources de calcul dans un environnement AWS Batch informatique géré, consultez la section [Marquer vos ressources](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) dans le *guide de AWS Batch l'utilisateur*.
# Contrôles Security Hub CSPM pour AWS Certificate Manager
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources AWS Certificate Manager (ACM). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée
**Exigences connexes :** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ACM::Certificate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)
**Type de calendrier :** changement déclenché et périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `daysToExpiration` | Nombre de jours pendant lesquels le certificat ACM doit être renouvelé | Entier | `14` sur `365` | `30` |
Ce contrôle vérifie si un certificat AWS Certificate Manager (ACM) est renouvelé dans le délai spécifié. Il vérifie à la fois les certificats importés et les certificats fournis par ACM. Le contrôle échoue si le certificat n'est pas renouvelé dans le délai spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de renouvellement, Security Hub CSPM utilise une valeur par défaut de 30 jours.
ACM peut renouveler automatiquement les certificats qui utilisent la validation DNS. Pour les certificats qui utilisent la validation par e-mail, vous devez répondre à un e-mail de validation de domaine. ACM ne renouvelle pas automatiquement les certificats que vous importez. Vous devez renouveler manuellement les certificats importés.
### Correction
ACM assure le renouvellement géré de vos SSL/TLS certificats émis par Amazon. Cela signifie qu'ACM renouvelle automatiquement vos certificats (si vous utilisez la validation DNS) ou qu'elle vous envoie des notifications par e-mail lorsque l'expiration des certificats approche. Ces services s'appliquent aux certificats ACM publics et privés.
**Pour les domaines validés par e-mail**
Lorsqu'un certificat arrive à expiration dans un délai de 45 jours, ACM envoie au propriétaire du domaine un e-mail pour chaque nom de domaine. Pour valider les domaines et terminer le renouvellement, vous devez répondre aux notifications par e-mail.
Pour plus d'informations, consultez la section [Renouvellement pour les domaines validés par e-mail](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) dans le *guide de AWS Certificate Manager l'utilisateur*.
**Pour les domaines validés par DNS**
ACM renouvelle automatiquement les certificats qui utilisent la validation DNS. 60 jours avant l'expiration, ACM vérifie que le certificat peut être renouvelé.
S'il ne parvient pas à valider un nom de domaine, ACM envoie une notification indiquant qu'une validation manuelle est requise. Il envoie ces notifications 45 jours, 30 jours, 7 jours et 1 jour avant l'expiration.
Pour plus d'informations, consultez la section [Renouvellement pour les domaines validés par DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) dans le *Guide de AWS Certificate Manager l'utilisateur*.
## [ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
**Exigences associées :** PCI DSS v4.0.1/4.2.1
**Catégorie :** Identifier > Inventaire > Services d'inventaire
**Gravité :** Élevée
**Type de ressource :** `AWS::ACM::Certificate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les certificats RSA gérés par AWS Certificate Manager utilisent une longueur de clé d'au moins 2 048 bits. Le contrôle échoue si la longueur de la clé est inférieure à 2 048 bits.
La puissance du chiffrement est directement liée à la taille de la clé. Nous recommandons des longueurs de clé d'au moins 2 048 bits pour protéger vos AWS ressources à mesure que la puissance de calcul diminue et que les serveurs deviennent plus avancés.
### Correction
La longueur de clé minimale pour les certificats RSA émis par ACM est déjà de 2 048 bits. Pour obtenir des instructions sur l'émission de nouveaux certificats RSA avec ACM, consultez la section [Émission et gestion des certificats](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) dans le guide de l'*AWS Certificate Manager utilisateur*.
ACM vous permet d'importer des certificats dont la longueur de clé est plus courte, mais vous devez utiliser des clés d'au moins 2 048 bits pour passer ce contrôle. Vous ne pouvez pas modifier la longueur de la clé après avoir importé un certificat. Vous devez plutôt supprimer les certificats dont la longueur de clé est inférieure à 2 048 bits. Pour plus d'informations sur l'importation de certificats dans ACM, consultez la section [Conditions préalables à l'importation de certificats](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) dans le Guide de l'*AWS Certificate Manager utilisateur*.
## [ACM.3] Les certificats ACM doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ACM::Certificate`
**AWS Config règle :** `tagged-acm-certificate` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un certificat AWS Certificate Manager (ACM) possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un certificat ACM, consultez la section [Marquage des AWS Certificate Manager certificats](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) dans le guide de l'*AWS Certificate Manager utilisateur*.
# Security Hub CSPM contrôle pour CloudFormation
Ces contrôles CSPM du Security Hub évaluent le AWS CloudFormation service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFormation.1] les CloudFormation piles doivent être intégrées au Simple Notification Service (SNS)
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences connexes :** NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFormation::Stack`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une notification Amazon Simple Notification Service est intégrée à une CloudFormation pile. Le contrôle échoue pour une CloudFormation pile si aucune notification SNS n'y est associée.
La configuration d'une notification SNS avec votre CloudFormation stack permet d'informer immédiatement les parties prenantes de tout événement ou changement survenant dans le stack.
### Correction
Pour intégrer une CloudFormation pile et une rubrique SNS, consultez la section [Mettre à jour les piles directement](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) dans le guide de l'*AWS CloudFormation utilisateur*.
## [CloudFormation.2] les CloudFormation piles doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFormation::Stack`
**AWS Config règle :** `tagged-cloudformation-stack` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS CloudFormation pile possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la pile ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la pile n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une CloudFormation pile, consultez [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)la *référence de l'AWS CloudFormation API*.
## [CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFormation::Stack`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection de terminaison est activée sur une AWS CloudFormation pile. Le contrôle échoue si la protection de terminaison n'est pas activée sur une CloudFormation pile.
CloudFormation permet de gérer les ressources connexes en tant qu'unité unique appelée Stack. Vous pouvez empêcher la suppression accidentelle d’une pile en activant la protection contre la résiliation sur la pile. Si un utilisateur tente de supprimer une pile pour laquelle la protection contre la résiliation est activée, la suppression échoue et la pile, et son statut, restent inchangés. Vous pouvez définir la protection contre la résiliation sur une pile ayant n’importe quel status sauf `DELETE_IN_PROGRESS` ou `DELETE_COMPLETE`.
**Note**
L’activation ou la désactivation de la protection pour résilier sur une pile transmet le même choix à toutes les piles imbriquées appartenant à cette pile. Vous ne pouvez pas activer ou désactiver la protection contre la résiliation directement sur une pile imbriquée. Vous ne pouvez pas supprimer directement une pile imbriquée appartenant à une pile pour laquelle la protection de terminaison est activée. Si NESTED s’affiche en regard du nom de la pile, cela signifie que la pile est imbriquée. Dans ce cas, vous pouvez seulement modifier la protection contre la résiliation sur la pile racine à laquelle appartient la pile imbriquée.
### Correction
Pour activer la protection contre le licenciement sur une CloudFormation pile, voir [Protéger les CloudFormation piles contre la suppression](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html) dans le *Guide de l'AWS CloudFormation utilisateur*.
## [CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
**Catégorie :** Détecter > Gestion des accès sécurisés
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFormation::Stack`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un rôle de service est associé à une AWS CloudFormation pile. Le contrôle échoue pour une CloudFormation pile si aucun rôle de service n'y est associé.
Rôles d'exécution des StackSets utilisations gérés par le service grâce à l'intégration des accès sécurisés AWS des Organizations. Le contrôle génère également un résultat d'échec pour une AWS CloudFormation pile créée par un service géré StackSets car aucun rôle de service n'y est associé. En raison de la méthode d' StackSets authentification gérée par les services, le `roleARN` champ ne peut pas être renseigné pour ces piles.
L'utilisation de rôles de service avec des CloudFormation piles permet de mettre en œuvre l'accès avec le moindre privilège en séparant les autorisations entre l'utilisateur qui creates/updates cumule les autorisations et les autorisations requises par CloudFormation les create/update ressources. Cela réduit le risque d'augmentation des privilèges et contribue à maintenir les limites de sécurité entre les différents rôles opérationnels.
**Note**
Un rôle de service attaché à une pile ne peut pas être supprimé après la création de la pile. Les autres utilisateurs disposant des autorisations nécessaires pour effectuer des opérations sur cette pile peuvent utiliser ce rôle, qu’ils disposent ou non de l’autorisation `iam:PassRole`. Si le rôle comprend des autorisations que l'utilisateur ne devrait pas avoir, vous avez peut-être remonté accidentellement ses autorisations. Vérifiez que le rôle accorde le privilège le plus faible.
### Correction
Pour associer un rôle de service à une CloudFormation pile, voir [rôle CloudFormation de service](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) dans le *Guide de AWS CloudFormation l'utilisateur*.
# Contrôles Security Hub CSPM pour Amazon CloudFront
Ces AWS Security Hub CSPM contrôles évaluent le CloudFront service et les ressources Amazon. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
**Exigences associées :** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon d'origine S3 est configurée pour renvoyer un objet spécifique qui est l'objet racine par défaut. Le contrôle échoue si la CloudFront distribution utilise les origines S3 et qu'aucun objet racine par défaut n'est configuré. Ce contrôle ne s'applique pas aux CloudFront distributions qui utilisent des origines personnalisées.
Un utilisateur peut parfois demander l'URL racine de la distribution au lieu d'un objet de la distribution. Dans ce cas, la spécification d'un objet racine par défaut peut vous aider à éviter d'exposer le contenu de votre distribution web.
### Correction
Pour configurer un objet racine par défaut pour une CloudFront distribution, consultez [Comment spécifier un objet racine par défaut](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon exige que les utilisateurs utilisent directement le protocole HTTPS ou si elle utilise la redirection. Le contrôle échoue s'il `ViewerProtocolPolicy` est défini sur « `allow-all` pour » `defaultCacheBehavior` ou « pour `cacheBehaviors` ».
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS.
### Correction
Pour chiffrer une CloudFront distribution en transit, consultez la section [Exiger le protocole HTTPS pour la communication entre les utilisateurs et CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon est configurée avec un groupe d'origine comportant au moins deux origines.
CloudFront le basculement d'origine peut augmenter la disponibilité. Le basculement d'origine redirige automatiquement le trafic vers une origine secondaire si l'origine principale n'est pas disponible ou s'il renvoie des codes d'état de réponse HTTP spécifiques.
### Correction
Pour configurer le basculement d'origine pour une CloudFront distribution, consultez la section [Création d'un groupe d'origine](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.5] la journalisation des CloudFront distributions doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des accès au serveur est activée sur les CloudFront distributions. Le contrôle échoue si la journalisation des accès n'est pas activée pour une distribution. Ce contrôle évalue uniquement si la journalisation standard (ancienne) est activée pour une distribution.
CloudFront les journaux d'accès fournissent des informations détaillées sur chaque demande d'utilisateur CloudFront reçue. Chaque journal contient des informations telles que la date et l'heure de réception de la demande, l'adresse IP de l'utilisateur qui a fait la demande, la source de la demande et le numéro de port de la demande formulée par l'utilisateur. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Pour plus d'informations sur l'analyse des journaux d'accès, consultez la section [Query Amazon CloudFront Logs](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) dans le guide de l'*utilisateur d'Amazon Athena*.
### Correction
Pour configurer la journalisation standard (ancienne) pour une CloudFront distribution, consultez [Configurer la journalisation standard (ancienne)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.6] WAF doit être activé sur les CloudFront distributions
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2
**Catégorie :** Protéger > Services de protection
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions sont associées à AWS WAF Classic ou au AWS WAF Web ACLs. Le contrôle échoue si la distribution n'est pas associée à une ACL Web.
AWS WAF est un pare-feu pour applications Web qui aide à protéger les applications Web APIs contre les attaques. Il vous permet de configurer un ensemble de règles appelé liste de contrôle d'accès web (ACL web) qui autorisent, bloquent ou comptent les requêtes web en fonction des règles et conditions de sécurité web personnalisables que vous définissez. Assurez-vous que votre CloudFront distribution est associée à une ACL AWS WAF Web afin de la protéger contre les attaques malveillantes.
### Correction
Pour associer une ACL AWS WAF Web à une CloudFront distribution, consultez la section [Utiliser AWS WAF pour contrôler l'accès à votre contenu](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.R2 3.13.15
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions utilisent le SSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS certificat par défaut.
SSL/TLS Permettez à vos utilisateurs d'accéder au contenu de manière personnalisée en utilisant des noms de domaine alternatifs. Vous pouvez stocker des certificats personnalisés dans AWS Certificate Manager (recommandé) ou dans IAM.
### Correction
Pour ajouter un autre nom de domaine pour une CloudFront distribution à l'aide d'un certificat SSL/TLS personnalisé, consultez la section [Ajouter un autre nom de domaine](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) dans le manuel *Amazon CloudFront * Developer Guide.
## [CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon utilisent un SSL/TLS certificat personnalisé et sont configurées pour utiliser le SNI pour traiter les requêtes HTTPS. Ce contrôle échoue si un SSL/TLS certificat personnalisé est associé mais que la méthode de SSL/TLS support est une adresse IP dédiée.
Server Name Indication (SNI) est une extension du protocole TLS prise en charge par les navigateurs et les clients lancés après 2010. Si vous configurez CloudFront pour répondre aux demandes HTTPS à l'aide du SNI, CloudFront associez votre nom de domaine alternatif à une adresse IP pour chaque emplacement périphérique. Lorsqu’un utilisateur envoie une demande HTTPS pour votre contenu, DNS achemine la demande vers l’adresse IP de l’emplacement périphérique correct. L'adresse IP de votre nom de domaine est déterminée lors de la négociation de la SSL/TLS poignée de main ; l'adresse IP n'est pas dédiée à votre distribution.
### Correction
Pour configurer une CloudFront distribution afin qu'elle utilise le SNI pour traiter les requêtes HTTPS, consultez la section [Utilisation du SNI pour servir les requêtes HTTPS (fonctionne pour la plupart des clients)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) dans le guide du CloudFront développeur. Pour plus d'informations sur les certificats SSL personnalisés, consultez la section [Exigences relatives à l'utilisation de SSL/TLS certificats avec CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html).
## [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon chiffrent le trafic vers des origines personnalisées. Ce contrôle échoue pour une CloudFront distribution dont la politique du protocole d'origine autorise le « HTTP uniquement ». Ce contrôle échoue également si la politique du protocole d'origine de la distribution est « match-viewer » alors que la politique du protocole du viewer est « allow-all ».
Le protocole HTTPS (TLS) peut être utilisé pour empêcher l'écoute ou la manipulation du trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées.
### Correction
Pour mettre à jour la politique du protocole d'origine afin d'exiger le chiffrement d'une CloudFront connexion, consultez la section [Exiger le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) dans le *manuel du CloudFront développeur Amazon*.
## [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon utilisent des protocoles SSL obsolètes pour la communication HTTPS entre les emplacements CloudFront périphériques et vos origines personnalisées. Ce contrôle échoue si une CloudFront distribution possède un `CustomOriginConfig` Where `OriginSslProtocols` includes`SSLv3`.
En 2015, l'Internet Engineering Task Force (IETF) a officiellement annoncé que le protocole SSL 3.0 devait être abandonné car le protocole n'était pas suffisamment sécurisé. Il est recommandé d'utiliser la version TLSv1 2 ou une version ultérieure pour les communications HTTPS avec vos origines personnalisées.
### Correction
Pour mettre à jour les protocoles SSL d'origine pour une CloudFront distribution, consultez la section [Exiger le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes
**Exigences connexes :** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), PCI DSS v4.0.1/2.2.6
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Élevée
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon pointent vers des origines Amazon S3 inexistantes. Le contrôle échoue pour une CloudFront distribution si l'origine est configurée pour pointer vers un bucket inexistant. Ce contrôle s'applique uniquement aux CloudFront distributions où un compartiment S3 sans hébergement de site Web statique est l'origine S3.
Lorsqu'une CloudFront distribution de votre compte est configurée pour pointer vers un bucket inexistant, un tiers malveillant peut créer le bucket référencé et diffuser son propre contenu via votre distribution. Nous vous recommandons de vérifier toutes les origines, quel que soit le comportement de routage, afin de vous assurer que vos distributions pointent vers des origines appropriées.
### Correction
Pour modifier une CloudFront distribution afin qu'elle pointe vers une nouvelle origine, consultez la section [Mettre à jour une distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le contrôle d'accès à l'origine (OAC) d'une CloudFront distribution Amazon avec une origine Amazon S3 est configuré. Le contrôle échoue si OAC n'est pas configuré pour la CloudFront distribution.
Lorsque vous utilisez un compartiment S3 comme origine pour votre CloudFront distribution, vous pouvez activer OAC. Cela permet d'accéder au contenu du bucket uniquement via la CloudFront distribution spécifiée, et interdit l'accès directement depuis le bucket ou une autre distribution. Bien qu'il soit CloudFront compatible avec Origin Access Identity (OAI), OAC offre des fonctionnalités supplémentaires, et les distributions utilisant OAI peuvent migrer vers OAC. Bien que l'OAI fournisse un moyen sécurisé d'accéder aux origines S3, il présente des limites, telles que le manque de prise en charge des configurations de politiques granulaires et des HTTP/HTTPS demandes utilisant la méthode POST Régions AWS nécessitant la version 4 de AWS signature (SigV4). OAI ne prend pas non plus en charge le chiffrement avec AWS Key Management Service. L'OAC est basé sur une bonne pratique qui AWS consiste à utiliser les principes de service IAM pour s'authentifier avec les origines S3.
### Correction
Pour configurer OAC pour une CloudFront distribution avec des origines S3, consultez [Restreindre l'accès à une origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.14] les CloudFront distributions doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudFront::Distribution`
**AWS Config règle :** `tagged-cloudfront-distribution` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une CloudFront distribution Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la distribution ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la distribution n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une CloudFront distribution, consultez la section [Marquage des CloudFront distributions Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) dans le manuel *Amazon CloudFront Developer Guide*.
## [CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)
**Type de calendrier :** changement déclenché
**Paramètres `securityPolicies` :** `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (non personnalisable)
Ce contrôle vérifie si une CloudFront distribution Amazon est configurée pour utiliser une politique de sécurité TLS recommandée. Le contrôle échoue si la CloudFront distribution n'est pas configurée pour utiliser une politique de sécurité TLS recommandée.
Si vous configurez une CloudFront distribution Amazon pour obliger les utilisateurs à utiliser le protocole HTTPS pour accéder au contenu, vous devez choisir une politique de sécurité et spécifier la version minimale SSL/TLS du protocole à utiliser. Cela détermine la version du protocole CloudFront utilisée pour communiquer avec les utilisateurs, ainsi que les chiffrements CloudFront utilisés pour chiffrer les communications. Nous vous recommandons d'utiliser la dernière politique de sécurité qui CloudFront fournit. Cela garantit que CloudFront les suites de chiffrement les plus récentes sont utilisées pour chiffrer les données en transit entre un lecteur et une CloudFront distribution.
**Note**
Ce contrôle génère des résultats uniquement pour les CloudFront distributions configurées pour utiliser des certificats SSL personnalisés et qui ne sont pas configurées pour prendre en charge les anciens clients.
### Correction
Pour plus d'informations sur la configuration de la politique de sécurité d'une CloudFront distribution, consultez [Mettre à jour une distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) dans le manuel *Amazon CloudFront Developer Guide*. Lorsque vous configurez la politique de sécurité d'une distribution, choisissez la dernière stratégie de sécurité.
## [CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le contrôle d'accès à l'origine (OAC) est activé pour une CloudFront distribution Amazon ayant une URL de AWS Lambda fonction comme origine. Le contrôle échoue si la CloudFront distribution possède une URL de fonction Lambda comme origine et que l'OAC n'est pas activé.
Une URL de AWS Lambda fonction est un point de terminaison HTTPS dédié pour une fonction Lambda. Si l'URL d'une fonction Lambda est l'origine d'une CloudFront distribution, l'URL de la fonction doit être accessible au public. Par conséquent, pour des raisons de sécurité, vous devez créer un OAC et l'ajouter à l'URL de la fonction Lambda dans une distribution. L'OAC utilise les principes du service IAM pour authentifier les demandes entre CloudFront et l'URL de la fonction. Il prend également en charge l'utilisation de politiques basées sur les ressources pour autoriser l'invocation d'une fonction uniquement si une demande provient d'une CloudFront distribution spécifiée dans la politique.
### Correction
Pour plus d'informations sur la configuration d'OAC pour une CloudFront distribution Amazon qui utilise une URL de fonction Lambda comme origine, [consultez Restreindre l'accès à l'origine de l'URL AWS Lambda d'une fonction](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) dans le manuel * CloudFront Amazon* Developer Guide.
## [CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudFront::Distribution`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon est configurée pour utiliser des groupes de clés fiables pour l'authentification par URL signée ou par cookie signé. Le contrôle échoue si la CloudFront distribution utilise des signataires fiables ou si aucune authentification n'est configurée pour la distribution.
Pour utiliser des cookies signés URLs ou signés, vous avez besoin d'un signataire. Un signataire est soit un groupe de clés fiables dans lequel vous créez CloudFront, soit un AWS compte contenant une paire de CloudFront clés. Nous vous recommandons d'utiliser des groupes de clés fiables, car avec les groupes de CloudFront clés, vous n'avez pas besoin d'utiliser l'utilisateur root du AWS compte pour gérer les clés publiques des cookies CloudFront signés URLs et signés.
**Note**
Ce contrôle n'évalue pas les CloudFront distributions `(connectionMode=tenant-only)` multi-locataires.
### Correction
Pour plus d'informations sur l'utilisation de groupes de clés fiables avec des cookies URLs et des signatures, consultez la section [Utilisation de groupes de clés fiables](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) dans le manuel *Amazon CloudFront Developer Guide*.
# Contrôles Security Hub CSPM pour AWS CloudTrail
Ces AWS Security Hub CSPM contrôles évaluent le AWS CloudTrail service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.1, CIS AWS Foundations Benchmark v1.2.0/2.1, CIS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), (9), (9), NIST.800-53.r5 AC-4 (22) AWS NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8
**Catégorie :** Identifier - Journalisation
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `readWriteType`: `ALL` (non personnalisable)
`includeManagementEvents`: `true` (non personnalisable)
Ce contrôle vérifie s'il existe au moins un journal multirégional qui capture AWS CloudTrail les événements de gestion de lecture et d'écriture. Le contrôle échoue s'il CloudTrail est désactivé ou s'il n'existe pas au moins une CloudTrail trace qui capture les événements de gestion de lecture et d'écriture.
AWS CloudTrail enregistre les appels d' AWS API pour votre compte et vous envoie des fichiers journaux. Les informations enregistrées incluent les informations suivantes :
+ Identité de l'appelant d’API
+ Heure de l'appel API
+ Adresse IP source de l'appelant d’API
+ Paramètres de demande
+ Éléments de réponse renvoyés par Service AWS
CloudTrail fournit un historique des appels d' AWS API pour un compte, y compris les appels d'API effectués à partir des outils de ligne de commande AWS Management Console AWS SDKs,. L'historique inclut également les appels d'API provenant de niveaux supérieurs Services AWS tels que. AWS CloudFormation
L'historique des appels d' AWS API produit par CloudTrail permet l'analyse de la sécurité, le suivi des modifications des ressources et l'audit de conformité. Les journaux de suivi multi-régions offrent également les avantages suivants.
+ Un journal de suivi multi-régions permet de détecter les activités inattendues qui se produisent dans des régions par ailleurs inutilisées
+ Un journal de suivi multi-régions garantit que la journalisation mondiale des services est activée par défaut pour un journal de suivi. La journalisation des événements de service mondiaux enregistre les événements générés par les services AWS mondiaux.
+ Pour un parcours multirégional, les événements de gestion pour toutes les opérations de lecture et d'écriture garantissent que les opérations de gestion des CloudTrail enregistrements sur toutes les ressources d'un Compte AWS.
Par défaut, les CloudTrail sentiers créés à l'aide du AWS Management Console sont des sentiers multirégionaux.
### Correction
Pour créer un nouveau parcours multirégional dans CloudTrail, voir [Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de l'AWS CloudTrail utilisateur*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Paramètres supplémentaires, validation du fichier journal | Activé |
| Choisissez les événements du journal, les événements de gestion, l'activité de l'API | **Lisez** et **écrivez**. Désactivez les cases à cocher pour les exclusions. |
Pour mettre à jour un parcours existant, reportez-vous [à la section Mise à jour d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) dans le *Guide de AWS CloudTrail l'utilisateur*. Dans **Événements de gestion**, pour **l'activité de l'API**, choisissez **Read** and **Write**.
## [CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.5, CIS Foundations Benchmark v1.2.0/2.7, CIS AWS Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 AWS SI-7 (6), NIST.800-171.R2 3.3.8, NIST.800-53.r5 SC-2 PCI DSS v3.2.1/3.4, NIST.800-53.r5 SC-7 PCI DSS v4.0.0.1/10,3.2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudTrail::Trail`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement côté serveur (SSE) CloudTrail est configuré pour utiliser le chiffrement côté serveur (SSE). AWS KMS key Le contrôle échoue si le `KmsKeyId` n'est pas défini.
Pour renforcer la sécurité de vos fichiers CloudTrail journaux sensibles, vous devez utiliser le [chiffrement côté serveur avec AWS KMS keys (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) pour vos fichiers CloudTrail journaux afin de les chiffrer au repos. Notez que par défaut, les fichiers journaux envoyés par CloudTrail vos buckets sont chiffrés par chiffrement [côté serveur Amazon avec des clés de chiffrement gérées par Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)).
### Correction
Pour activer le chiffrement SSE-KMS pour les fichiers CloudTrail journaux, voir [Mettre à jour un journal pour utiliser une clé KMS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail) dans le Guide de l'*AWS CloudTrail utilisateur*.
## [CloudTrail.3] Au moins une CloudTrail piste doit être activée
**Exigences connexes :** NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7, PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, PCI DSS v3.2.1/3.2.4 2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS CloudTrail parcours est activé dans votre Compte AWS. Le contrôle échoue si aucun suivi n'est activé sur votre compte. CloudTrail
Cependant, certains AWS services ne permettent pas de consigner tous APIs les événements. Vous devez mettre en œuvre toute piste d'audit supplémentaire autre que CloudTrail et consulter la documentation de chaque service dans la section [Services et intégrations CloudTrail pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html).
### Correction
Pour commencer CloudTrail et créer un parcours, consultez le [AWS CloudTrail didacticiel de prise en main](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) du *guide de l'AWS CloudTrail utilisateur*.
## [CloudTrail.4] La validation du fichier CloudTrail journal doit être activée
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/3.2, CIS Foundations Benchmark v1.2.0/2.2, CIS AWS Foundations Benchmark v1.4.0/3.2, Nist.800-53.R5 AU-9, Nist.800-53.R5 AWS SI-4, Nist.800-53.R5 AWS SI-7 (1), Nist.800-53.R5 SI-7 (3), NIST.800-53.R5 SI-7 (7), NIST.800-171.R2 3.3.8, PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, PCI DSS v4.0.1/10.3.2
**Catégorie :** Protection des données > Intégrité des données
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudTrail::Trail`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la validation de l'intégrité du fichier journal est activée sur un CloudTrail journal.
CloudTrail la validation du fichier journal crée un fichier condensé signé numériquement qui contient le hachage de chaque journal CloudTrail écrit sur Amazon S3. Vous pouvez utiliser ces fichiers de synthèse pour déterminer si un fichier journal a été modifié, supprimé ou inchangé après la CloudTrail livraison du journal.
Security Hub CSPM vous recommande d'activer la validation des fichiers sur tous les sentiers. La validation des fichiers journaux fournit des contrôles d'intégrité supplémentaires des CloudTrail journaux.
### Correction
Pour activer la validation du fichier CloudTrail journal, voir [Activation de la validation de l'intégrité du fichier journal CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) dans le *guide de AWS CloudTrail l'utilisateur*.
## [CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.4, PCI DSS v3.2.1/10.5.3, CIS Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, (4), (26), (9), Nist.800-53.R5 AWS SI-20, NIST.800-53.R5 SI-3 NIST.800-53.r5 AC-2 (8), Nist.800-53.R5 SI-4 NIST.800-53.r5 AC-4 (20), Nist.800-53.R5 SI-4 NIST.800-53.r5 AC-6 (20) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, Nist.800-53.R5 800-53.R5 SI-4 NIST.800-53.r5 SC-7 (5), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudTrail::Trail`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudTrail sentiers sont configurés pour envoyer des CloudWatch journaux à Logs. Le contrôle échoue si la `CloudWatchLogsLogGroupArn` propriété de la piste est vide.
CloudTrail enregistre les appels d' AWS API effectués dans un compte donné. Les informations enregistrées incluent les éléments suivants :
+ L'identité de l'appelant de l'API
+ Heure de l'appel d'API
+ Adresse IP source de l'appelant de l'API
+ Les paramètres de la demande
+ Les éléments de réponse renvoyés par Service AWS
CloudTrail utilise Amazon S3 pour le stockage et la livraison des fichiers journaux. Vous pouvez capturer CloudTrail des journaux dans un compartiment S3 spécifique pour une analyse à long terme. Pour effectuer une analyse en temps réel, vous pouvez configurer CloudTrail l'envoi des CloudWatch journaux vers Logs.
Pour un suivi activé dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de CloudWatch journaux de journaux.
Security Hub CSPM vous recommande d'envoyer les CloudTrail journaux à CloudWatch Logs. Notez que cette recommandation vise à garantir que l'activité du compte est capturée, surveillée et déclenchée de manière appropriée. Vous pouvez utiliser CloudWatch Logs pour configurer cela avec votre Services AWS. Cette recommandation n'exclut pas l'utilisation d'une autre solution.
L'envoi de CloudTrail CloudWatch journaux à Logs facilite la journalisation en temps réel et historique des activités en fonction de l'utilisateur, de l'API, de la ressource et de l'adresse IP. Vous pouvez utiliser cette approche pour établir des alarmes et des notifications en cas d'activité anormale ou sensible du compte.
### Correction
Pour intégrer CloudTrail les CloudWatch journaux, consultez la section [Envoyer des événements aux CloudWatch journaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) dans le *guide de AWS CloudTrail l'utilisateur*.
## [CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/2.3, CIS AWS Foundations Benchmark v1.4.0/3.3, PCI DSS v4.0.1/1.4.4
**Catégorie :** Identifier - Journalisation
**Gravité :** Critique
**Type de ressource :** `AWS::S3::Bucket`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** périodique et déclenché par des modifications
**Paramètres :** Aucun
CloudTrail enregistre un enregistrement de chaque appel d'API effectué sur votre compte. Ces fichiers journaux sont stockés dans un compartiment S3. CIS recommande que la politique de compartiment S3, ou liste de contrôle d'accès (ACL), soit appliquée au compartiment S3 qui CloudTrail enregistre afin d'empêcher l'accès public aux CloudTrail journaux. Autoriser l'accès public au contenu des CloudTrail journaux peut aider un adversaire à identifier les faiblesses liées à l'utilisation ou à la configuration du compte concerné.
Pour exécuter cette vérification, Security Hub CSPM utilise d'abord une logique personnalisée pour rechercher le compartiment S3 dans lequel vos CloudTrail journaux sont stockés. Il utilise ensuite les règles AWS Config gérées pour vérifier que le bucket est accessible au public.
Si vous regroupez vos journaux dans un seul compartiment S3 centralisé, Security Hub CSPM effectue la vérification uniquement par rapport au compte et à la région où se trouve le compartiment S3 centralisé. Pour les autres comptes et régions, le statut du contrôle est **Aucune donnée**.
Si le compartiment est accessible au public, la vérification génère un échec de recherche.
### Correction
Pour bloquer l'accès public à votre compartiment CloudTrail S3, consultez la [section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*. Sélectionnez les quatre paramètres d'accès public par bloc d'Amazon S3.
## [CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/2.6, CIS Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4, PCI DSS AWS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
La journalisation des accès au compartiment S3 génère un journal qui contient les enregistrements d'accès pour chaque demande envoyée à votre compartiment S3. Un enregistrement du journal d'accès contient des détails sur la demande, tels que le type de demande, les ressources spécifiées dans la demande utilisée, ainsi que l'heure et la date du traitement de la demande.
CIS vous recommande d'activer la journalisation de l'accès au compartiment sur le compartiment CloudTrail S3.
En activant la journalisation des accès aux compartiments S3 cibles, vous pouvez capturer tous les événements susceptibles d'affecter les objets dans un compartiment cible. Si les journaux sont configurés pour être placés dans un compartiment distinct, il est possible d'accéder aux informations qu'ils contiennent, qui peuvent s'avérer utiles dans les flux de travail de sécurité et de réponse aux incidents.
Pour exécuter cette vérification, Security Hub CSPM utilise d'abord une logique personnalisée pour rechercher le compartiment dans lequel vos CloudTrail journaux sont stockés, puis utilise la règle AWS Config gérée pour vérifier si la journalisation est activée.
S'il CloudTrail fournit des fichiers journaux provenant de plusieurs compartiments Comptes AWS vers un seul compartiment Amazon S3 de destination, Security Hub CSPM évalue ce contrôle uniquement par rapport au compartiment de destination de la région où il se trouve. Cela rationalise vos résultats. Toutefois, vous devez l'activer CloudTrail dans tous les comptes qui fournissent des journaux au compartiment de destination. Pour tous les comptes, à l'exception de celui qui contient le compartiment de destination, le statut de contrôle est **Aucune donnée**.
### Correction
Pour activer la journalisation de l'accès au serveur pour votre compartiment CloudTrail S3, consultez la section [Activation de la journalisation de l'accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) *dans le guide de l'utilisateur d'Amazon Simple Storage Service*.
## [CloudTrail.9] les CloudTrail sentiers doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CloudTrail::Trail`
**AWS Config règle :** `tagged-cloudtrail-trail` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS CloudTrail parcours possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le parcours ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le parcours n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un CloudTrail parcours, reportez-vous [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)à la *référence de l'AWS CloudTrail API*.
## [CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys
**Exigences connexes :** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::CloudTrail::EventDataStore`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Une liste des noms de ressources Amazon (ARNs) AWS KMS keys à inclure dans l'évaluation. Le contrôle permet de déterminer `FAILED` si un magasin de données d'événements n'est pas chiffré avec une clé KMS dans la liste. | StringList (maximum de 3 articles) | 1 à 3 ARNs des clés KMS existantes. Par exemple : `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. | Aucune valeur par défaut |
Ce contrôle vérifie si un magasin de données d'événements AWS CloudTrail Lake est chiffré au repos et qu'il est géré par un client AWS KMS key. Le contrôle échoue si le magasin de données d'événements n'est pas chiffré à l'aide d'une clé KMS gérée par le client. Vous pouvez éventuellement spécifier une liste de clés KMS que le contrôle doit inclure dans l'évaluation.
Par défaut, AWS CloudTrail Lake chiffre les magasins de données d'événements avec des clés gérées par Amazon S3 (SSE-S3), à l'aide d'un algorithme AES-256. Pour un contrôle supplémentaire, vous pouvez configurer CloudTrail Lake pour crypter un magasin de données d'événements avec un magasin géré par le client AWS KMS key (SSE-KMS) à la place. Une clé KMS gérée par le client est une clé AWS KMS key que vous créez, détenez et gérez dans votre Compte AWS. Vous avez un contrôle total sur ce type de clé KMS. Cela inclut la définition et le maintien de la politique des clés, la gestion des subventions, la rotation du matériel cryptographique, l'attribution de balises, la création d'alias, ainsi que l'activation et la désactivation de la clé. Vous pouvez utiliser une clé KMS gérée par le client dans le cadre des opérations de chiffrement de vos CloudTrail données et auditer l'utilisation à l'aide de CloudTrail journaux.
### Correction
Pour plus d'informations sur le chiffrement d'un magasin de données d'événements AWS CloudTrail Lake avec un AWS KMS key que vous spécifiez, voir [Mettre à jour un magasin de données d'événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) dans le *Guide de l'AWS CloudTrail utilisateur*. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
# Contrôles Security Hub CSPM pour Amazon CloudWatch
Ces AWS Security Hub CSPM contrôles évaluent le CloudWatch service et les ressources Amazon. Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7, CIS Foundations Benchmark v1.4.0/4.3, AWS NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7, AWS PCI DSS v3.2.1/7.2.1
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
L'utilisateur root a un accès illimité à tous les services et ressources d'un Compte AWS. Nous vous recommandons vivement d'éviter d'utiliser l'utilisateur root pour les tâches quotidiennes. Minimiser l'utilisation de l'utilisateur root et adopter le principe du moindre privilège pour la gestion des accès réduisent le risque de modifications accidentelles et de divulgation involontaire d'informations d'identification hautement privilégiées.
Il est recommandé d'utiliser les informations d'identification de votre utilisateur root uniquement lorsque cela est nécessaire pour [effectuer des tâches de gestion des comptes et des services](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Appliquez les politiques Gestion des identités et des accès AWS (IAM) directement aux groupes et aux rôles, mais pas aux utilisateurs. Pour un didacticiel sur la configuration d'un administrateur pour une utilisation quotidienne, voir [Création de votre premier utilisateur et de votre premier groupe d'administrateurs IAM dans le guide de l'utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) *IAM*
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 1.7 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés
**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/3.1, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les appels d'API non autorisés. La surveillance des appels d'API non autorisés contribue à révéler les erreurs d'application et à détecter plus rapidement les opérations malveillantes.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 3.1 dans le [CIS AWS Foundations Benchmark](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.2
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et des connexions à la console d'alarme qui ne soient pas protégées par le MFA. La surveillance des connexions à un seul facteur à la console améliore la visibilité sur les comptes qui ne sont pas protégés par un MFA.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 3.2 dans le [CIS AWS Foundations Benchmark](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.4, CIS AWS Foundations Benchmark v1.4.0/4.4, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si vous surveillez les appels d'API en temps réel en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux politiques IAM. Ceci permet de s'assurer que les contrôles d'authentification et d'autorisation restent inchangés.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
**Note**
Le modèle de filtre que nous recommandons pour ces étapes de correction est différent du modèle de filtre indiqué dans les directives du CIS. Nos filtres recommandés ciblent uniquement les événements provenant d'appels d'API IAM.
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.5, CIS AWS Foundations Benchmark v1.4.0/4.5, NIST.800-171.R2 3.3.8, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux paramètres CloudTrail de configuration. Ceci permet de garantir une visibilité constante sur les activités du compte.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.5 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.6, CIS AWS Foundations Benchmark v1.4.0/4.6, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme en cas d'échec des tentatives d'authentification de console. La surveillance des échecs de connexion à la console peut contribuer à réduire les délais de détection d'une tentative de connexion en force, ce qui peut fournir un indicateur, telle une adresse IP source, qui pourra servir dans d'autres corrélations d'événements.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.6 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client
**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS AWS Foundations Benchmark v1.4.0/4.7, NIST.800-171.R2 3.13.10, NIST.800-171.R2 3.13.16, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les clés gérées par le client dont l'état est passé à Désactivé ou à suppression planifiée. Les données chiffrées avec des clés désactivées ou supprimées ne sont plus accessibles.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.7 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique. Le contrôle échoue également s'il `ExcludeManagementEventSources` contient`kms.amazonaws.com`.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.8, CIS AWS Foundations Benchmark v1.4.0/4.8, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux politiques du compartiment S3. La surveillance de ces modifications peut contribuer à réduire les délais de détection et de correction des stratégies permissives associées aux compartiments S3 sensibles.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.8 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.9, CIS AWS Foundations Benchmark v1.4.0/4.9, NIST.800-171.R2 3.3.8, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux paramètres AWS Config de configuration. La surveillance de ces modifications permet de garantir une visibilité constante sur les éléments de configuration du compte.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.9 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.10, CIS AWS Foundations Benchmark v1.4.0/4.10, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Les groupes de sécurité constituent un filtre de paquet avec état qui contrôle le trafic entrant et sortant dans un VPC.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux groupes de sécurité. La surveillance de ces modifications permet de s'assurer que les ressources et les services ne sont pas involontairement exposés.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.10 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.11, CIS AWS Foundations Benchmark v1.4.0/4.11, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. NACLs sont utilisés comme filtre de paquets sans état pour contrôler le trafic entrant et sortant des sous-réseaux d'un VPC.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées à NACLs. Le suivi de ces changements permet de s'assurer que AWS les ressources et les services ne sont pas exposés involontairement.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.11 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.12, CIS AWS Foundations Benchmark v1.4.0/4.12, NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.13.1
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Les passerelles réseau permettent d'envoyer et de recevoir le trafic vers une destination en dehors d'un VPC.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux passerelles réseau. La surveillance de ces modifications permet de s'assurer que tout le trafic entrant et sortant traverse le VPC par un chemin d'accès contrôlé.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.12 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.13, CIS AWS Foundations Benchmark v1.4.0/4.13, NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si vous surveillez les appels d'API en temps réel en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Les tables de routage acheminent le trafic réseau entre les sous-réseaux et vers les passerelles réseau.
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux tables de routage. La surveillance de ces modifications permet de s'assurer que l'ensemble du trafic du VPC passe par un chemin d'accès attendu.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
**Note**
Le modèle de filtre que nous recommandons pour ces étapes de correction est différent du modèle de filtre indiqué dans les directives du CIS. Nos filtres recommandés ciblent uniquement les événements provenant des appels d'API Amazon Elastic Compute Cloud (EC2).
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.14, CIS AWS Foundations Benchmark v1.4.0/4.14, NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Vous pouvez avoir plusieurs VPC dans un compte, et vous pouvez créer une connexion homologue entre deux VPCs, permettant ainsi au trafic réseau d'être acheminé entre eux. VPCs
CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées à VPCs. Ceci permet de s'assurer que les contrôles d'authentification et d'autorisation restent inchangés.
Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.14 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.
**Note**
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.
La vérification aboutit à `FAILED` des constatations dans les cas suivants :
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.
### Correction
Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.
1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.
1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.
1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
**Exigences connexes :** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 IR-4 (1), NIST.800-53.R5 IR-4 (5), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-20, NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5), NIST.800-171.R2 3.3.4, NIST.800-171.R2 3.14.R2 6
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::CloudWatch::Alarm`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `alarmActionRequired` | La commande produit une `PASSED` constatation si le paramètre est réglé sur `true` et l'alarme agit lorsque l'état de l'alarme passe à`ALARM`. | Booléen | Non personnalisable | `true` |
| `insufficientDataActionRequired` | La commande produit une `PASSED` constatation si le paramètre est réglé sur `true` et l'alarme agit lorsque l'état de l'alarme passe à`INSUFFICIENT_DATA`. | Booléen | `true` ou `false` | `false` |
| `okActionRequired` | La commande produit une `PASSED` constatation si le paramètre est réglé sur `true` et l'alarme agit lorsque l'état de l'alarme passe à`OK`. | Booléen | `true` ou `false` | `false` |
Ce contrôle vérifie si au moins une action est configurée pour l'`ALARM`état d'une CloudWatch alarme Amazon. Le contrôle échoue si aucune action de l'alarme n'est configurée pour `ALARM` cet état. Vous pouvez éventuellement inclure des valeurs de paramètres personnalisées afin de demander également des actions d'alarme pour les `OK` états `INSUFFICIENT_DATA` ou.
**Note**
Security Hub CSPM évalue ce contrôle en fonction CloudWatch des alarmes métriques. Les alarmes métriques peuvent faire partie d'alarmes composites dont les actions spécifiées sont configurées. Le contrôle génère `FAILED` des résultats dans les cas suivants :
Les actions spécifiées ne sont pas configurées pour une alarme métrique.
L'alarme métrique fait partie d'une alarme composite dont les actions spécifiées sont configurées.
Ce contrôle se concentre sur le fait de savoir si une CloudWatch action d'alarme est configurée pour une alarme, tandis que [CloudWatch.17](#cloudwatch-17) se concentre sur l'état d'activation d'une action CloudWatch d'alarme.
Nous recommandons des actions CloudWatch d'alarme pour vous avertir automatiquement lorsqu'une métrique surveillée dépasse le seuil défini. Les alarmes de surveillance vous aident à identifier les activités inhabituelles et à réagir rapidement aux problèmes de sécurité et de fonctionnement lorsqu'une alarme passe dans un état spécifique. Le type d'action d'alarme le plus courant consiste à avertir un ou plusieurs utilisateurs en envoyant un message à une rubrique Amazon Simple Notification Service (Amazon SNS).
### Correction
Pour plus d'informations sur les actions prises en charge par les CloudWatch alarmes, consultez la section [Actions d'alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) dans le *guide de CloudWatch l'utilisateur Amazon*.
## [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée
**Catégorie :** Identifier - Journalisation
**Exigences connexes :** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-12
**Gravité :** Moyenne
**Type de ressource :** `AWS::Logs::LogGroup`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minRetentionTime` | Période de conservation minimale en jours pour les groupes de CloudWatch journaux | Enum | `365, 400, 545, 731, 1827, 3653` | `365` |
Ce contrôle vérifie si un groupe de CloudWatch journaux Amazon a une période de conservation d'au moins le nombre de jours spécifié. Le contrôle échoue si la période de rétention est inférieure au nombre spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de rétention, Security Hub CSPM utilise une valeur par défaut de 365 jours.
CloudWatch Les journaux centralisent les journaux de tous vos systèmes et applications, Services AWS au sein d'un seul service hautement évolutif. Vous pouvez utiliser CloudWatch Logs pour surveiller, stocker et accéder à vos fichiers journaux à partir d'instances Amazon Elastic Compute Cloud (EC2), d' AWS CloudTrail Amazon Route 53 et d'autres sources. La conservation de vos journaux pendant au moins un an peut vous aider à respecter les normes de conservation des journaux.
### Correction
Pour configurer les paramètres de conservation des journaux, consultez la section [Conservation des données des CloudWatch journaux des modifications dans Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) du *guide de CloudWatch l'utilisateur Amazon*.
## [CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
**Catégorie :** Détecter - Services de détection
**Exigences connexes :** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-4 (12)
**Gravité :** Élevée
**Type de ressource :** `AWS::CloudWatch::Alarm`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cette commande vérifie si les actions CloudWatch d'alarme sont activées (elles `ActionEnabled` doivent être réglées sur true). La commande échoue si l'action d'alarme associée à une CloudWatch alarme est désactivée.
**Note**
Security Hub CSPM évalue ce contrôle en fonction CloudWatch des alarmes métriques. Les alarmes métriques peuvent faire partie d'alarmes composites dont les actions d'alarme sont activées. Le contrôle génère `FAILED` des résultats dans les cas suivants :
Les actions spécifiées ne sont pas configurées pour une alarme métrique.
L'alarme métrique fait partie d'une alarme composite dont les actions d'alarme sont activées.
Ce contrôle se concentre sur l'état d'activation d'une action CloudWatch d'alarme, tandis que [CloudWatch.15](#cloudwatch-15) se concentre sur la configuration d'une `ALARM` action dans une CloudWatch alarme.
Les actions d'alarme vous alertent automatiquement lorsqu'une métrique surveillée dépasse le seuil défini. Si l'action d'alarme est désactivée, aucune action n'est exécutée lorsque l'alarme change d'état, et vous ne serez pas averti des modifications des mesures surveillées. Nous vous recommandons CloudWatch d'activer les actions d'alarme pour vous aider à réagir rapidement aux problèmes de sécurité et de fonctionnement.
### Correction
**Pour activer une action CloudWatch d'alarme (console)**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le volet de navigation, sous **Alarmes**, sélectionnez **Toutes les alarmes**.
1. Sélectionnez l'alarme pour laquelle vous souhaitez activer des actions.
1. **Pour **Actions**, choisissez **Actions d'alarme : nouveau**, puis sélectionnez Activer.**
Pour plus d'informations sur l'activation des actions CloudWatch d'alarme, consultez la section [Actions d'alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) dans le *guide de CloudWatch l'utilisateur Amazon*.
# Contrôles Security Hub CSPM pour CodeArtifact
Ces contrôles CSPM du Security Hub évaluent le AWS CodeArtifact service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CodeArtifact::Repository`
**AWS Config règle :** `tagged-codeartifact-repository` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS CodeArtifact dépôt possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le référentiel ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le référentiel n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un CodeArtifact référentiel, voir [Marquer un référentiel CodeArtifact dans](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html) le *Guide de AWS CodeArtifact l'utilisateur*.
# Contrôles Security Hub CSPM pour CodeBuild
Ces contrôles CSPM du Security Hub évaluent le AWS CodeBuild service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles
**Exigences connexes :** PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'URL du référentiel source Bitbucket d'un AWS CodeBuild projet contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe. Le contrôle échoue si l'URL du référentiel source de Bitbucket contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe.
**Note**
Ce contrôle évalue à la fois la source principale et les sources secondaires d'un projet de CodeBuild construction. Pour plus d'informations sur les sources de projet, consultez l'[exemple de sources d'entrée multiples et d'artefacts de sortie](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) dans le *guide de AWS CodeBuild l'utilisateur*.
Les informations de connexion ne doivent pas être stockées ou transmises en texte clair ni apparaître dans l'URL du référentiel source. Au lieu d'utiliser des jetons d'accès personnels ou des identifiants de connexion, vous devez accéder à votre fournisseur source et modifier l'URL de votre dépôt source pour qu'elle ne contienne que le chemin d'accès à l'emplacement du référentiel Bitbucket. CodeBuild L'utilisation de jetons d'accès personnels ou d'identifiants de connexion peut entraîner une exposition involontaire aux données ou un accès non autorisé.
### Correction
Vous pouvez mettre à jour votre CodeBuild projet pour l'utiliser OAuth.
**Pour supprimer le jeton d'accès personnel/(GitHub) d'authentification de base de la source du CodeBuild projet**
1. Ouvrez la CodeBuild console à l'adresse [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).
1. Sélectionnez votre projet de génération qui contient des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe
1. Dans **Edit (Modifier)**, choisissez **Source**.
1. Choisissez **Déconnecter de GitHub /Bitbucket.**
1. Choisissez **Connect using OAuth**, puis **Connect to GitHub/Bitbucket**.
1. Lorsque vous y êtes invité, choisissez **authorize as appropriate (autoriser le cas échéant)**.
1. Reconfigurez l'URL du référentiel et les paramètres de configuration supplémentaire si nécessaire.
1. Choisissez **Mettre à jour la source**.
Pour plus d'informations, reportez-vous aux [exemples d'CodeBuild utilisation basés sur des cas](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) dans le *Guide de l'AWS CodeBuild utilisateur*.
## [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair
**Exigences connexes :** NIST.800-53.r5 IA-5 (7), PCI DSS v3.2.1/8.2.1 NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le projet contient des variables d'environnement `AWS_ACCESS_KEY_ID` et `AWS_SECRET_ACCESS_KEY`.
Les informations d'identification `AWS_ACCESS_KEY_ID` et `AWS_SECRET_ACCESS_KEY` ne doivent jamais être stockées en texte clair, car cela pourrait conduire à une exposition involontaire des données et un accès non autorisé.
### Correction
Pour supprimer des variables d'environnement d'un CodeBuild projet, voir [Modifier les paramètres d'un projet de construction AWS CodeBuild dans](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) le *Guide de AWS CodeBuild l'utilisateur*. Assurez-vous que rien n'est sélectionné pour les **variables d'environnement**.
Vous pouvez stocker des variables d'environnement contenant des valeurs sensibles dans le magasin de AWS Systems Manager paramètres ou AWS Secrets Manager les récupérer à partir de vos spécifications de construction. Pour obtenir des instructions, reportez-vous à la case intitulée **Important** dans la [section Environnement](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) du *guide de AWS CodeBuild l'utilisateur*.
## [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 (6), PCI DSS v4.0.1/10.3.2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité : ** Faible
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les journaux Amazon S3 d'un AWS CodeBuild projet sont chiffrés. Le contrôle échoue si le chiffrement est désactivé pour les journaux S3 d'un CodeBuild projet.
Le chiffrement des données au repos est une bonne pratique recommandée pour ajouter une couche de gestion des accès à vos données. Le chiffrement des journaux au repos réduit le risque qu'un utilisateur non authentifié AWS accède aux données stockées sur le disque. Il ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données.
### Correction
Pour modifier les paramètres de chiffrement des journaux CodeBuild du projet S3, voir [Modifier les paramètres d'un projet de génération AWS CodeBuild dans](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) le *Guide de AWS CodeBuild l'utilisateur*.
## [CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un environnement de CodeBuild projet dispose d'au moins une option de journalisation, soit vers S3, soit avec CloudWatch les journaux activés. Ce contrôle échoue si au moins une option de journalisation n'est pas activée dans un environnement de CodeBuild projet.
Du point de vue de la sécurité, la journalisation est une fonctionnalité importante pour permettre les futurs efforts de criminalistique en cas d'incident de sécurité. La corrélation entre les anomalies des CodeBuild projets et les détections de menaces peut accroître la confiance dans la précision de ces détections de menaces.
### Correction
Pour plus d'informations sur la configuration des paramètres CodeBuild du journal de projet, voir [Créer un projet de génération (console)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) dans le guide de CodeBuild l'utilisateur.
## [CodeBuild.5] le mode privilégié ne doit pas être activé dans les environnements de CodeBuild projet
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences associées :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Catégorie :** Protéger > Gestion des accès sécurisés
**Gravité :** Élevée
**Type de ressource :** `AWS::CodeBuild::Project`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le mode privilégié est activé ou désactivé dans un environnement de AWS CodeBuild projet. Le contrôle échoue si le mode privilégié est activé dans un environnement de CodeBuild projet.
Par défaut, les conteneurs Docker n'autorisent l'accès à aucun périphérique. Le mode privilégié accorde un accès au conteneur Docker d'un projet de génération à tous les périphériques. Le réglage `privilegedMode` avec une valeur `true` permet au démon Docker de s'exécuter dans un conteneur Docker. Le démon Docker écoute les demandes d'API Docker et gère les objets Docker tels que les images, les conteneurs, les réseaux et les volumes. Ce paramètre ne doit être défini sur true que si le projet de génération est utilisé pour créer des images Docker. Dans le cas contraire, ce paramètre doit être désactivé pour empêcher tout accès involontaire à Docker APIs ainsi qu'au matériel sous-jacent du conteneur. Le réglage `privilegedMode` sur `false` permet de protéger les ressources critiques contre la falsification et la suppression.
### Correction
Pour configurer les paramètres d'environnement CodeBuild du projet, voir [Créer un projet de génération (console)](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) dans le *guide de CodeBuild l'utilisateur*. Dans la section **Environnement**, ne sélectionnez pas le paramètre **Privileged**.
## [CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::CodeBuild::ReportGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les résultats des tests d'un groupe de AWS CodeBuild rapports exportés vers un bucket Amazon Simple Storage Service (Amazon S3) sont chiffrés au repos. Le contrôle échoue si l'exportation du groupe de rapports n'est pas cryptée au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour chiffrer l'exportation du groupe de rapports vers S3, voir [Mettre à jour un groupe de rapports](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) dans le *Guide de l'AWS CodeBuild utilisateur*.
# Contrôles Security Hub CSPM pour Amazon Profiler CodeGuru
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon CodeGuru Profiler.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CodeGuruProfiler::ProfilingGroup`
**Règle AWS Config :** `codeguruprofiler-profiling-group-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de CodeGuru profilage Amazon Profiler possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le groupe de profilage ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de profilage n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un groupe de profilage CodeGuru Profiler, consultez la section [Marquage des groupes de profilage](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) dans le guide de l'utilisateur d'*Amazon CodeGuru Profiler*.
# Contrôles CSPM du Security Hub pour Amazon Reviewer CodeGuru
Ces contrôles CSPM du Security Hub évaluent le service et les ressources Amazon CodeGuru Reviewer.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CodeGuruReviewer::RepositoryAssociation`
**Règle AWS Config :** `codegurureviewer-repository-association-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une association de référentiel Amazon CodeGuru Reviewer possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'association du référentiel ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'association du référentiel n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une association de référentiel CodeGuru Reviewer, consultez la section [Marquage d'une association de référentiel](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html) dans le *guide de l'utilisateur Amazon CodeGuru Reviewer*.
# Contrôles CSPM du Security Hub pour Amazon Cognito
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Cognito. Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `SecurityMode` | Mode d'application de la protection contre les menaces vérifié par le contrôle. | String | `AUDIT`, `ENFORCED` | `ENFORCED` |
Ce contrôle vérifie si la protection contre les menaces est activée dans un groupe d'utilisateurs Amazon Cognito avec le mode d'application réglé sur toutes les fonctionnalités pour l'authentification standard. Le contrôle échoue si la protection contre les menaces du groupe d'utilisateurs est désactivée ou si le mode d'application n'est pas configuré pour fonctionner pleinement pour l'authentification standard. À moins que vous ne fournissiez des valeurs de paramètres personnalisées, Security Hub CSPM utilise la valeur par défaut de `ENFORCED` pour le mode d'application défini sur pleine fonction pour l'authentification standard.
Après avoir créé un groupe d'utilisateurs Amazon Cognito, vous pouvez activer la protection contre les menaces et personnaliser les actions entreprises en réponse aux différents risques. Vous pouvez également utiliser le mode audit pour recueillir des mesures sur les risques détectés sans appliquer de mesures de sécurité. En mode audit, la protection contre les menaces publie des statistiques sur Amazon CloudWatch. Vous pouvez consulter les statistiques une fois qu'Amazon Cognito a généré son premier événement.
### Correction
Pour plus d'informations sur l'activation de la protection contre les menaces pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Sécurité avancée avec protection contre les menaces](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) dans le guide du développeur *Amazon Cognito*.
## [Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::IdentityPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un pool d'identités Amazon Cognito est configuré pour autoriser les identités non authentifiées. Le contrôle échoue si l'accès invité est activé (le `AllowUnauthenticatedIdentities` paramètre est défini sur`true`) pour le pool d'identités.
Si un pool d'identités Amazon Cognito autorise les identités non authentifiées, il fournit des informations d' AWS identification temporaires aux utilisateurs qui ne se sont pas authentifiés via un fournisseur d'identité (invités). Cela crée des risques de sécurité car cela permet un accès anonyme aux AWS ressources. Si vous désactivez l'accès invité, vous pouvez garantir que seuls les utilisateurs correctement authentifiés peuvent accéder à vos AWS ressources, ce qui réduit le risque d'accès non autorisé et de failles de sécurité potentielles. En tant que bonne pratique, un pool d'identités doit nécessiter une authentification auprès des fournisseurs d'identité pris en charge. Si un accès non authentifié est nécessaire, il est important de limiter soigneusement les autorisations relatives aux identités non authentifiées et de vérifier et de surveiller régulièrement leur utilisation.
### Correction
Pour plus d'informations sur la désactivation de l'accès invité pour un pool d'identités Amazon Cognito, [consultez la section Activer ou désactiver l'accès invité dans le](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) guide du développeur Amazon *Cognito*.
## [Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minLength` | Le nombre minimum de caractères que doit contenir un mot de passe. | Entier | `8` sur `128` | `8 ` |
| `requireLowercase` | Le mot de passe doit comporter au moins une minuscule. | Booléen | `True`, `False` | `True` |
| `requireUppercase` | Le mot de passe doit comporter au moins une majuscule. | Booléen | `True`, `False` | `True` |
| `requireNumbers` | Le mot de passe doit contenir au moins un chiffre. | Booléen | `True`, `False` | `True` |
| `requireSymbols` | Un mot de passe doit comporter au moins un symbole. | Booléen | `True`, `False` | `True` |
| `temporaryPasswordValidity` | Nombre maximal de jours pendant lesquels un mot de passe peut exister avant son expiration. | Entier | `7` sur `365` | `7` |
Ce contrôle vérifie si la politique de mot de passe d'un groupe d'utilisateurs Amazon Cognito nécessite l'utilisation de mots de passe forts, sur la base des paramètres recommandés pour les politiques de mots de passe. Le contrôle échoue si la politique de mot de passe du groupe d'utilisateurs n'exige pas de mots de passe forts. Vous pouvez éventuellement spécifier des valeurs personnalisées pour les paramètres de politique vérifiés par le contrôle.
Les mots de passe forts constituent une bonne pratique de sécurité pour les groupes d'utilisateurs d'Amazon Cognito. Les mots de passe faibles peuvent exposer les informations d'identification des utilisateurs à des systèmes qui devinent les mots de passe et tentent d'accéder aux données. C'est notamment le cas pour les applications ouvertes sur Internet. Les politiques de mot de passe constituent un élément central de la sécurité des annuaires d'utilisateurs. En utilisant une politique de mot de passe, vous pouvez configurer un groupe d'utilisateurs pour exiger la complexité des mots de passe et d'autres paramètres conformes à vos normes et exigences de sécurité.
### Correction
Pour plus d'informations sur la création ou la mise à jour de la politique de mot de passe pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Ajout d'exigences relatives au mot de passe du groupe d'utilisateurs](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) dans le guide du développeur *Amazon Cognito*.
## [Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les menaces est activée dans un groupe d'utilisateurs Amazon Cognito, le mode d'application étant réglé sur toutes les fonctionnalités pour une authentification personnalisée. Le contrôle échoue si la protection contre les menaces est désactivée dans le groupe d'utilisateurs ou si le mode d'application n'est pas configuré sur toutes les fonctionnalités pour une authentification personnalisée.
La protection contre les menaces, anciennement appelée fonctionnalités de sécurité avancées, est un ensemble d'outils de surveillance des activités indésirables dans votre groupe d'utilisateurs et d'outils de configuration permettant de mettre automatiquement fin aux activités potentiellement malveillantes. Après avoir créé un groupe d'utilisateurs Amazon Cognito, vous pouvez activer la protection contre les menaces avec le mode d'application complet pour une authentification personnalisée et personnaliser les actions entreprises en réponse aux différents risques. Le mode multifonction inclut un ensemble de réactions automatiques pour détecter les activités indésirables et les mots de passe compromis.
### Correction
Pour plus d'informations sur l'activation de la protection contre les menaces pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Sécurité avancée avec protection contre les menaces](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) dans le guide du développeur *Amazon Cognito*.
## [Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
**Catégorie : Protection** > Gestion des accès sécurisés > Authentification multifactorielle
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée dans un groupe d'utilisateurs Amazon Cognito configuré avec une politique de connexion par mot de passe uniquement. Le contrôle échoue si le groupe d'utilisateurs configuré avec une politique de connexion par mot de passe uniquement n'a pas activé la MFA.
L'authentification multifactorielle (MFA) ajoute un facteur d'authentification à un facteur que vous connaissez (généralement un nom d'utilisateur et un mot de passe). Pour les utilisateurs fédérés, Amazon Cognito délègue l'authentification au fournisseur d'identité (IdP) et ne propose aucun facteur d'authentification supplémentaire. Toutefois, si vous avez des utilisateurs locaux dotés d'une authentification par mot de passe, la configuration de l'authentification MFA pour le groupe d'utilisateurs renforce leur sécurité.
**Note**
Ce contrôle ne s'applique pas aux utilisateurs fédérés et aux utilisateurs qui se connectent sans mot de passe.
### Correction
*Pour plus d'informations sur la configuration de l'authentification multifacteur pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Ajouter une authentification multifacteur à un groupe d'utilisateurs dans le manuel Amazon Cognito Developer](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) Guide.*
## [Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::Cognito::UserPool`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée pour un groupe d'utilisateurs Amazon Cognito. Le contrôle échoue si la protection contre la suppression est désactivée pour le groupe d'utilisateurs.
La protection contre la suppression permet de garantir que votre groupe d'utilisateurs n'est pas supprimé accidentellement. Lorsque vous configurez un groupe d'utilisateurs avec protection contre les suppressions, aucun utilisateur ne peut le supprimer. La protection contre la suppression vous empêche de demander la suppression d'un groupe d'utilisateurs à moins que vous ne le modifiiez au préalable et que vous ne désactiviez la protection contre les suppressions.
### Correction
Pour configurer la protection contre la suppression pour un groupe d'utilisateurs Amazon Cognito, consultez la section [Protection contre la suppression du groupe d'utilisateurs](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) dans le manuel *Amazon Cognito Developer* Guide.
# Contrôles Security Hub CSPM pour AWS Config
Ces contrôles CSPM du Security Hub évaluent le AWS Config service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.3, CIS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, Nist.800-53.R5 CM-3, NIST.800-53.R5 CM-6 (1), NIST.800-53.R5 CM-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5 AWS
**Catégorie :** Identifier - Inventaire
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `includeConfigServiceLinkedRoleCheck` | Le contrôle n'évalue pas si le rôle lié au service est AWS Config utilisé si le paramètre est défini sur. `false` | Booléen | `true` ou `false` | `true` |
Ce contrôle vérifie si votre compte AWS Config est activé actuellement Région AWS, enregistre toutes les ressources correspondant aux contrôles activés dans la région actuelle et utilise le rôle [lié au service AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). Le nom du rôle lié au service est. **AWSServiceRoleForConfig** Si vous n'utilisez pas le rôle lié au service et que vous ne définissez pas le `includeConfigServiceLinkedRoleCheck` paramètre sur`false`, le contrôle échoue car les autres rôles ne disposent peut-être pas des autorisations nécessaires AWS Config pour enregistrer correctement vos ressources.
Le AWS Config service gère la configuration des AWS ressources prises en charge dans votre compte et vous fournit des fichiers journaux. Les informations enregistrées incluent l'élément de configuration (AWS ressource), les relations entre les éléments de configuration et tout changement de configuration au sein des ressources. Les ressources mondiales sont des ressources disponibles dans n'importe quelle région.
Le contrôle est évalué comme suit :
+ Si la région actuelle est définie comme votre [région d'agrégation](finding-aggregation.md), le contrôle produit des `PASSED` résultats uniquement si des ressources globales Gestion des identités et des accès AWS (IAM) sont enregistrées (si vous avez activé les contrôles qui les nécessitent).
+ Si la région actuelle est définie comme une région liée, le contrôle n'évalue pas si les ressources globales IAM sont enregistrées.
+ Si la région actuelle ne figure pas dans votre agrégateur, ou si l'agrégation entre régions n'est pas configurée dans votre compte, le contrôle produit des `PASSED` résultats uniquement si les ressources globales IAM sont enregistrées (si vous avez activé les contrôles qui les nécessitent).
Les résultats du contrôle ne sont pas affectés par le fait que vous choisissiez l'enregistrement quotidien ou continu des modifications de l'état des ressources dans AWS Config. Toutefois, les résultats de ce contrôle peuvent changer lorsque de nouveaux contrôles sont publiés si vous avez configuré l'activation automatique de nouveaux contrôles ou si vous disposez d'une politique de configuration centrale qui active automatiquement les nouveaux contrôles. Dans ces cas, si vous n'enregistrez pas toutes les ressources, vous devez configurer l'enregistrement pour les ressources associées à de nouveaux contrôles afin de recevoir un `PASSED` résultat.
Les contrôles de sécurité CSPM du Security Hub fonctionnent comme prévu uniquement si vous les activez AWS Config dans toutes les régions et configurez l'enregistrement des ressources pour les contrôles qui l'exigent.
**Note**
Config.1 nécessite que cela AWS Config soit activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM.
Security Hub CSPM étant un service régional, la vérification effectuée pour ce contrôle évalue uniquement la région actuelle du compte.
Pour autoriser les contrôles de sécurité par rapport aux ressources mondiales IAM d'une région, vous devez enregistrer les ressources mondiales IAM dans cette région. Les régions pour lesquelles aucune ressource globale IAM n'est enregistrée recevront un `PASSED` résultat par défaut pour les contrôles qui vérifient les ressources globales IAM. Les ressources globales IAM étant identiques Régions AWS, nous vous recommandons d'enregistrer les ressources mondiales IAM uniquement dans la région d'origine (si l'agrégation entre régions est activée dans votre compte). Les ressources IAM seront enregistrées uniquement dans la région dans laquelle l'enregistrement des ressources globales est activé.
Les types de ressources IAM enregistrés dans le monde entier qui sont pris AWS Config en charge sont les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM. Vous pouvez envisager de désactiver les contrôles Security Hub CSPM qui vérifient ces types de ressources dans les régions où l'enregistrement des ressources globales est désactivé. Pour de plus amples informations, veuillez consulter [Contrôles suggérés à désactiver dans Security Hub CSPM](controls-to-disable.md).
### Correction
Dans la région d'origine et les régions qui ne font pas partie d'un agrégateur, enregistrez toutes les ressources requises pour les contrôles activés dans la région actuelle, y compris les ressources globales IAM si vous avez activé des contrôles qui nécessitent des ressources mondiales IAM.
Dans les régions liées, vous pouvez utiliser n'importe quel AWS Config mode d'enregistrement, à condition d'enregistrer toutes les ressources correspondant aux contrôles activés dans la région actuelle. Dans les régions liées, si vous avez activé les contrôles qui nécessitent l'enregistrement des ressources globales IAM, vous ne recevrez aucun `FAILED` résultat (votre enregistrement des autres ressources est suffisant).
Le `StatusReasons` champ situé dans l'`Compliance`objet de votre recherche peut vous aider à déterminer pourquoi votre recherche a échoué pour ce contrôle. Pour de plus amples informations, veuillez consulter [Détails de conformité pour les résultats des contrôles](controls-findings-create-update.md#control-findings-asff-compliance).
Pour obtenir la liste des ressources qui doivent être enregistrées pour chaque contrôle, voir[AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md). Pour des informations générales sur l'activation AWS Config et la configuration de l'enregistrement des ressources, consultez[Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md).
# Contrôles Security Hub CSPM pour Amazon Connect
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon Connect.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::CustomerProfiles::ObjectType`
**Règle AWS Config :** `customerprofiles-object-type-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un type d'objet Amazon Connect Customer Profiles possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le type d'objet ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le type d'objet n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un type d'objet Customer Profiles, consultez la section [Ajouter des balises aux ressources dans Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) dans le manuel *Amazon Connect Administrator Guide*.
## [Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Connect::Instance`
**Règle AWS Config :** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance Amazon Connect est configurée pour générer et stocker des journaux de flux dans un groupe de CloudWatch journaux Amazon. Le contrôle échoue si l'instance Amazon Connect n'est pas configurée pour générer et stocker des journaux de flux dans un groupe de CloudWatch journaux.
Les journaux de flux Amazon Connect fournissent des informations en temps réel sur les événements des flux Amazon Connect. Un *flux* définit l'expérience client avec un centre de contact Amazon Connect du début à la fin. Par défaut, lorsque vous créez une nouvelle instance Amazon Connect, un groupe de CloudWatch journaux Amazon est créé automatiquement pour stocker les journaux de flux de l'instance. Les journaux de flux peuvent vous aider à analyser les flux, à détecter les erreurs et à surveiller les indicateurs opérationnels. Vous pouvez également configurer des alertes pour des événements spécifiques susceptibles de se produire dans un flux.
### Correction
Pour plus d'informations sur l'activation des journaux de flux pour une instance Amazon Connect, consultez la section [Activer les journaux de flux Amazon Connect dans un groupe de CloudWatch journaux](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) *Amazon dans le guide de l'administrateur Amazon Connect*.
# Contrôles Security Hub CSPM pour Amazon Data Firehose
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon Data Firehose.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 AC-3, NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::KinesisFirehose::DeliveryStream`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un flux de diffusion Amazon Data Firehose est chiffré au repos avec un chiffrement côté serveur. Ce contrôle échoue si un flux de diffusion Firehose n'est pas chiffré au repos avec un chiffrement côté serveur.
Le chiffrement côté serveur est une fonctionnalité des flux de diffusion d'Amazon Data Firehose qui chiffre automatiquement les données avant qu'elles ne soient inactives à l'aide d'une clé créée dans (). AWS Key Management Service AWS KMS Les données sont chiffrées avant d'être écrites dans la couche de stockage du flux Data Firehose, et déchiffrées une fois extraites du stockage. Cela vous permet de respecter les exigences réglementaires et de renforcer la sécurité de vos données.
### Correction
*Pour activer le chiffrement côté serveur sur les flux de diffusion Firehose, consultez la section [Protection des données dans Amazon Data Firehose dans le manuel Amazon Data Firehose Developer](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html) Guide.*
# Contrôles Security Hub CSPM pour AWS Database Migration Service
Ces AWS Security Hub CSPM contrôles évaluent le AWS Database Migration Service (AWS DMS) et les AWS DMS ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::DMS::ReplicationInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les instances de AWS DMS réplication sont publiques. Pour ce faire, il examine la valeur du `PubliclyAccessible` champ.
Une instance de réplication privée possède une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit avoir une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau. Le réseau doit également être connecté au VPC de l'instance de réplication à l'aide d'un VPN Direct Connect, ou d'un peering VPC. Pour en savoir plus sur les instances de réplication publiques et privées, consultez la section [Instances de réplication publiques et privées](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) dans le *Guide de AWS Database Migration Service l'utilisateur*.
Vous devez également vous assurer que l'accès à la configuration de votre AWS DMS instance est limité aux seuls utilisateurs autorisés. Pour ce faire, limitez les autorisations IAM des utilisateurs afin de modifier AWS DMS les paramètres et les ressources.
### Correction
Vous ne pouvez pas modifier le paramètre d'accès public d'une instance de réplication DMS après l'avoir créée. Pour modifier le paramètre d'accès public, [supprimez votre instance actuelle](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html), puis [recréez-la.](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html) Ne sélectionnez pas l'option **Accessible au public**.
## [DMS.2] Les certificats DMS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DMS::Certificate`
**AWS Config règle :** `tagged-dms-certificate` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS DMS certificat comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un certificat DMS, consultez la section [Ressources relatives au balisage AWS Database Migration Service dans](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) le Guide de l'*AWS Database Migration Service utilisateur*.
## [DMS.3] Les abonnements aux événements DMS doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DMS::EventSubscription`
**AWS Config règle :** `tagged-dms-eventsubscription` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un abonnement à un AWS DMS événement comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'abonnement à l'événement ne comporte aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'abonnement à l'événement n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un abonnement à un événement DMS, consultez les [ressources de balisage AWS Database Migration Service dans](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) le guide de l'*AWS Database Migration Service utilisateur*.
## [DMS.4] Les instances de réplication DMS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DMS::ReplicationInstance`
**AWS Config règle :** `tagged-dms-replicationinstance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une instance de AWS DMS réplication possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'instance de réplication ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance de réplication n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une instance de réplication DMS, consultez la section [Ressources de balisage AWS Database Migration Service dans](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) le Guide de l'*AWS Database Migration Service utilisateur*.
## [DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DMS::ReplicationSubnetGroup`
**AWS Config règle :** `tagged-dms-replicationsubnetgroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un groupe de sous-réseaux de AWS DMS réplication possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le groupe de sous-réseaux de réplication ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux de réplication n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un groupe de sous-réseaux de réplication DMS, consultez la section [Marquage des ressources AWS Database Migration Service dans](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) le Guide de l'AWS Database Migration Service utilisateur.*
## [DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::ReplicationInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée pour une instance de AWS DMS réplication. Le contrôle échoue si la mise à niveau automatique des versions mineures n'est pas activée pour une instance de réplication DMS.
DMS fournit une mise à niveau automatique des versions mineures de chaque moteur de réplication pris en charge afin que vous puissiez conserver votre instance up-to-date de réplication. Les versions mineures peuvent introduire de nouvelles fonctionnalités logicielles, des corrections de bogues, des correctifs de sécurité et des améliorations de performances. En activant la mise à niveau automatique des versions mineures sur les instances de réplication DMS, les mises à niveau mineures sont appliquées automatiquement pendant la période de maintenance ou immédiatement si l'**option Appliquer les modifications immédiatement est sélectionnée**.
### Correction
Pour activer la mise à niveau automatique des versions mineures sur les instances de réplication DMS, reportez-vous à la section [Modification d'une instance de réplication](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) dans le *Guide de AWS Database Migration Service l'utilisateur*.
## [DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::ReplicationTask`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée avec le niveau de gravité minimum de `LOGGER_SEVERITY_DEFAULT` pour les tâches de réplication DMS `TARGET_APPLY` et`TARGET_LOAD`. Le contrôle échoue si la journalisation n'est pas activée pour ces tâches ou si le niveau de gravité minimal est inférieur à`LOGGER_SEVERITY_DEFAULT`.
DMS utilise Amazon CloudWatch pour enregistrer les informations pendant le processus de migration. À l'aide des paramètres des tâches de journalisation, vous pouvez spécifier les activités des composants qui sont enregistrées et la quantité d'informations enregistrées. Vous devez spécifier la journalisation pour les tâches suivantes :
+ `TARGET_APPLY` : les données et les instructions DDL sont appliquées à la base de données cible.
+ `TARGET_LOAD` : les données sont chargées dans la base de données cible.
La journalisation joue un rôle essentiel dans les tâches de réplication DMS en permettant la surveillance, le dépannage, l'audit, l'analyse des performances, la détection des erreurs et la restauration, ainsi que l'analyse historique et les rapports. Il permet de garantir la réplication réussie des données entre les bases de données tout en préservant l'intégrité des données et en respectant les exigences réglementaires. Les niveaux de journalisation autres que `DEFAULT` sont rarement nécessaires pour ces composants lors du dépannage. Nous vous recommandons de conserver le même niveau de journalisation que `DEFAULT` pour ces composants, sauf demande spécifique de le modifier par Support. Un niveau de journalisation minimal de `DEFAULT` garantit que les messages d'information, les avertissements et les messages d'erreur sont écrits dans les journaux. Ce contrôle vérifie si le niveau de journalisation est au moins l'un des suivants pour les tâches de réplication précédentes : `LOGGER_SEVERITY_DEFAULT``LOGGER_SEVERITY_DEBUG`, ou`LOGGER_SEVERITY_DETAILED_DEBUG`.
### Correction
Pour activer la journalisation des tâches de réplication DMS de la base de données cible, reportez-vous à la section [Affichage et gestion des journaux des AWS DMS tâches](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) dans le *Guide de AWS Database Migration Service l'utilisateur*.
## [DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::ReplicationTask`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée avec le niveau de gravité minimum de `LOGGER_SEVERITY_DEFAULT` pour les tâches de réplication DMS `SOURCE_CAPTURE` et`SOURCE_UNLOAD`. Le contrôle échoue si la journalisation n'est pas activée pour ces tâches ou si le niveau de gravité minimal est inférieur à`LOGGER_SEVERITY_DEFAULT`.
DMS utilise Amazon CloudWatch pour enregistrer les informations pendant le processus de migration. À l'aide des paramètres des tâches de journalisation, vous pouvez spécifier les activités des composants qui sont enregistrées et la quantité d'informations enregistrées. Vous devez spécifier la journalisation pour les tâches suivantes :
+ `SOURCE_CAPTURE`— Les données de réplication ou de capture des données de modification (CDC) en cours sont capturées à partir de la base de données ou du service source et transmises au composant de `SORTER` service.
+ `SOURCE_UNLOAD`— Les données sont déchargées de la base de données ou du service source pendant le chargement complet.
La journalisation joue un rôle essentiel dans les tâches de réplication DMS en permettant la surveillance, le dépannage, l'audit, l'analyse des performances, la détection des erreurs et la restauration, ainsi que l'analyse historique et les rapports. Il permet de garantir la réplication réussie des données entre les bases de données tout en préservant l'intégrité des données et en respectant les exigences réglementaires. Les niveaux de journalisation autres que `DEFAULT` sont rarement nécessaires pour ces composants lors du dépannage. Nous vous recommandons de conserver le même niveau de journalisation que `DEFAULT` pour ces composants, sauf demande spécifique de le modifier par Support. Un niveau de journalisation minimal de `DEFAULT` garantit que les messages d'information, les avertissements et les messages d'erreur sont écrits dans les journaux. Ce contrôle vérifie si le niveau de journalisation est au moins l'un des suivants pour les tâches de réplication précédentes : `LOGGER_SEVERITY_DEFAULT``LOGGER_SEVERITY_DEBUG`, ou`LOGGER_SEVERITY_DETAILED_DEBUG`.
### Correction
Pour activer la journalisation des tâches de réplication DMS de la base de données source, reportez-vous à la section [Affichage et gestion des journaux des AWS DMS tâches](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) dans le *Guide de AWS Database Migration Service l'utilisateur*.
## [DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
**Exigences associées :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison utilise une connexion SSL. Le contrôle échoue si le terminal n'utilise pas le protocole SSL.
Les connexions SSL/TLS fournissent une couche de sécurité en chiffrant les connexions entre les instances de réplication DMS et votre base de données. L'utilisation de certificats fournit un niveau de sécurité supplémentaire en validant que la connexion est établie avec la base de données attendue. Pour ce faire, il vérifie le certificat de serveur qui est automatiquement installé sur toutes les instances de base de données que vous provisionnez. En activant la connexion SSL sur vos terminaux DMS, vous protégez la confidentialité des données pendant la migration.
### Correction
Pour ajouter une connexion SSL à un point de terminaison DMS nouveau ou existant, consultez la section [Utilisation du protocole SSL AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) dans le *guide de l'AWS Database Migration Service utilisateur*.
## [DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune
**Exigences associées :** NIST.800-53.r5 AC-2,,, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison pour une base de données Amazon Neptune est configuré avec l'autorisation IAM. Le contrôle échoue si l'autorisation IAM n'est pas activée sur le point de terminaison DMS.
Gestion des identités et des accès AWS (IAM) fournit un contrôle d'accès précis sur l'ensemble du site. AWS Avec IAM, vous pouvez spécifier qui peut accéder à quels services et ressources, et dans quelles conditions. Avec les politiques IAM, vous gérez les autorisations accordées à votre personnel et à vos systèmes afin de garantir les autorisations du moindre privilège. En activant l'autorisation IAM sur les AWS DMS points de terminaison des bases de données Neptune, vous pouvez accorder des privilèges d'autorisation aux utilisateurs IAM en utilisant un rôle de service spécifié par le paramètre. `ServiceAccessRoleARN`
### Correction
*Pour activer l'autorisation IAM sur les points de terminaison DMS pour les bases de données Neptune, consultez la section Utilisation d'[Amazon Neptune comme](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html) cible dans le guide de l'utilisateur. AWS Database Migration ServiceAWS Database Migration Service *
## [DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé
**Exigences connexes :** NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison pour MongoDB est configuré avec un mécanisme d'authentification. Le contrôle échoue si aucun type d'authentification n'est défini pour le point de terminaison.
AWS Database Migration Service prend en charge deux méthodes d'authentification pour MongoDB **:** MONGODB-CR pour MongoDB version 2.x **et** SCRAM-SHA-1 pour MongoDB version 3.x ou ultérieure. Ces méthodes d'authentification sont utilisées pour authentifier et chiffrer les mots de passe MongoDB si les utilisateurs souhaitent utiliser les mots de passe pour accéder aux bases de données. L'authentification sur les AWS DMS terminaux garantit que seuls les utilisateurs autorisés peuvent accéder aux données migrées entre les bases de données et les modifier. Sans authentification appropriée, les utilisateurs non autorisés peuvent accéder à des données sensibles pendant le processus de migration. Cela peut entraîner des violations de données, des pertes de données ou d'autres incidents de sécurité.
### Correction
*Pour activer un mécanisme d'authentification sur les points de terminaison DMS pour MongoDB, consultez la section Utilisation de [MongoDB comme source dans le guide de l'utilisateur](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html). AWS DMSAWS Database Migration Service *
## [DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS
**Exigences connexes :** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison pour Redis OSS est configuré avec une connexion TLS. Le contrôle échoue si le protocole TLS n'est pas activé sur le terminal.
Le protocole TLS assure end-to-end la sécurité lorsque des données sont envoyées entre des applications ou des bases de données via Internet. Lorsque vous configurez le cryptage SSL pour votre point de terminaison DMS, il permet une communication cryptée entre les bases de données source et cible pendant le processus de migration. Cela permet d'empêcher l'écoute et l'interception de données sensibles par des acteurs malveillants. Sans cryptage SSL, il est possible d'accéder à des données sensibles, ce qui peut entraîner des violations de données, des pertes de données ou d'autres incidents de sécurité.
### Correction
*Pour activer une connexion TLS sur les points de terminaison DMS pour Redis, consultez la section [Utilisation de Redis comme cible dans le guide de l'utilisateur AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html).AWS Database Migration Service *
## [DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::DMS::ReplicationInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance de réplication AWS Database Migration Service (AWS DMS) est configurée pour utiliser plusieurs zones de disponibilité (déploiement multi-AZ). Le contrôle échoue si l'instance de AWS DMS réplication n'est pas configurée pour utiliser un déploiement multi-AZ.
Dans un déploiement multi-AZ, AWS DMS provisionne et gère automatiquement une réplique de secours d'une instance de réplication dans une autre zone de disponibilité (AZ). L'instance de réplication principale est ensuite répliquée de manière synchrone sur la réplique de secours. Si l'instance de réplication principale échoue ou ne répond plus, l'instance de secours reprend toutes les tâches en cours avec une interruption minimale. Pour plus d'informations, consultez la section [Utilisation d'une instance de réplication](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) dans le *Guide de AWS Database Migration Service l'utilisateur*.
### Correction
Après avoir créé une instance de AWS DMS réplication, vous pouvez modifier le paramètre de déploiement multi-AZ correspondant à celle-ci. Pour plus d'informations sur la modification de ce paramètre et d'autres paramètres pour une instance de réplication existante, consultez la section [Modification d'une instance de réplication](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) dans le *Guide de AWS Database Migration Service l'utilisateur*.
# Contrôles Security Hub CSPM pour AWS DataSync
Ces contrôles CSPM du Security Hub évaluent le AWS DataSync service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DataSync.1] la journalisation DataSync des tâches doit être activée
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::DataSync::Task`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour une AWS DataSync tâche. Le contrôle échoue si la journalisation n'est pas activée pour la tâche.
Les journaux d'audit suivent et surveillent les activités du système. Ils fournissent un enregistrement des événements qui peut vous aider à détecter les failles de sécurité, à enquêter sur les incidents et à vous conformer aux réglementations. Les journaux d'audit améliorent également la responsabilité globale et la transparence de votre organisation.
### Correction
Pour plus d'informations sur la configuration de la journalisation AWS DataSync des tâches, consultez la section [Surveillance des transferts de données avec Amazon CloudWatch Logs](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) dans le *guide de AWS DataSync l'utilisateur*.
## [DataSync.2] DataSync les tâches doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DataSync::Task`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « 2 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS DataSync tâche possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la tâche ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche n'en possède aucune. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une AWS DataSync tâche, consultez la section [Marquage de vos AWS DataSync tâches](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) dans le *guide de l'AWS DataSync utilisateur*.
# Contrôles Security Hub CSPM pour Amazon Detective
Ce AWS Security Hub CSPM contrôle évalue le service et les ressources d'Amazon Detective. Il se peut que le contrôle ne soit pas disponible du tout Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Detective.1] Les graphes de comportement des détectives doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Detective::Graph`
**AWS Config règle :** `tagged-detective-graph` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un graphe de comportement d'Amazon Detective possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le graphe de comportement ne possède aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le graphe de comportement n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un graphe de comportement de Detective, consultez la section [Ajouter des balises à un graphe de comportement](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) dans le *guide d'administration d'Amazon Detective*.
# Contrôles CSPM de Security Hub pour Amazon DocumentDB
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon DocumentDB (compatible avec MongoDB). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon DocumentDB est chiffré au repos. Le contrôle échoue si un cluster Amazon DocumentDB n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé y accède. Les données des clusters Amazon DocumentDB doivent être chiffrées au repos pour renforcer la sécurité. Amazon DocumentDB utilise la norme de chiffrement avancée 256 bits (AES-256) pour chiffrer vos données à l'aide des clés de chiffrement stockées dans (). AWS Key Management Service AWS KMS
### Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster Amazon DocumentDB. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section [Activation du chiffrement au repos pour un cluster Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) dans le manuel du développeur *Amazon DocumentDB*.
## [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate
**Exigences connexes :** NIST.800-53.R5 SI-12, PCI DSS v4.0.1/3.2.1
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Durée minimale de conservation des sauvegardes en jours | Entier | `7` sur `35` | `7` |
Ce contrôle vérifie si la période de rétention des sauvegardes d'un cluster Amazon DocumentDB est supérieure ou égale à la période spécifiée. Le contrôle échoue si la période de conservation des sauvegardes est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub CSPM utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et à renforcer la résilience de vos systèmes. En automatisant les sauvegardes de vos clusters Amazon DocumentDB, vous serez en mesure de restaurer vos systèmes à un moment précis et de minimiser les temps d'arrêt et les pertes de données. Dans Amazon DocumentDB, la période de conservation des sauvegardes par défaut des clusters est d'un jour. Ce délai doit être porté à une valeur comprise entre 7 et 35 jours pour passer ce contrôle.
### Correction
Pour modifier la période de conservation des sauvegardes pour vos clusters Amazon DocumentDB, consultez la section [Modification d'un cluster Amazon DocumentDB dans le manuel du développeur](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) Amazon *DocumentDB*. Pour **Backup**, choisissez la période de conservation des sauvegardes.
## [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané de cluster manuel Amazon DocumentDB est public. Le contrôle échoue si l'instantané manuel du cluster est public.
Un instantané de cluster manuel Amazon DocumentDB ne doit pas être public, sauf indication contraire. Si vous partagez un instantané manuel non chiffré en tant que public, l'instantané est accessible à tous Comptes AWS. Les instantanés publics peuvent entraîner une exposition involontaire des données.
**Note**
Ce contrôle évalue les instantanés manuels du cluster. Vous ne pouvez pas partager un instantané de cluster automatisé Amazon DocumentDB. Toutefois, vous pouvez créer un instantané manuel en copiant le cliché automatique, puis en partageant la copie.
### Correction
Pour supprimer l'accès public aux instantanés de cluster manuels Amazon DocumentDB, consultez la section [Partage d'un instantané](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) dans le manuel *Amazon* DocumentDB Developer Guide. Par programmation, vous pouvez utiliser l'opération Amazon DocumentDB. `modify-db-snapshot-attribute` Définissez `attribute-name` comme `restore` et `values-to-remove` comme`all`.
## [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon DocumentDB publie des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si le cluster ne publie pas les journaux d'audit dans CloudWatch Logs.
Amazon DocumentDB (compatible avec MongoDB) vous permet d'auditer les événements qui ont été effectués dans votre cluster. Les exemples d'événements enregistrés incluent les tentatives d'authentification réussies et celles ayant échoué, la suppression d'une collection dans une base de données ou la création d'un index. Par défaut, l'audit est désactivé dans Amazon DocumentDB et nécessite que vous preniez des mesures pour l'activer.
### Correction
Pour publier les journaux d'audit Amazon DocumentDB dans Logs, consultez la CloudWatch section [Activation de l'audit](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) dans le manuel *Amazon DocumentDB Developer* Guide.
## [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre la suppression est activée sur un cluster Amazon DocumentDB. Le contrôle échoue si la protection contre la suppression n'est pas activée sur le cluster.
L'activation de la protection contre la suppression de clusters offre un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par un utilisateur non autorisé. Un cluster Amazon DocumentDB ne peut pas être supprimé tant que la protection contre la suppression est activée. Vous devez d'abord désactiver la protection contre la suppression pour qu'une demande de suppression puisse aboutir. La protection contre la suppression est activée par défaut lorsque vous créez un cluster dans la console Amazon DocumentDB.
### Correction
Pour activer la protection contre la suppression pour un cluster Amazon DocumentDB existant, consultez la section [Modification d'un cluster Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) dans le manuel du développeur Amazon *DocumentDB*. Dans la section **Modifier le cluster**, choisissez **Activer** la **protection contre la suppression**.
## [DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** `excludeTlsParameters` :`disabled`, `enabled` (non personnalisable)
Cela permet de vérifier si un cluster Amazon DocumentDB nécessite le protocole TLS pour les connexions au cluster. Le contrôle échoue si le groupe de paramètres de cluster associé au cluster n'est pas synchronisé ou si le paramètre de cluster TLS est défini sur `disabled` ou`enabled`.
Vous pouvez utiliser le protocole TLS pour chiffrer la connexion entre une application et un cluster Amazon DocumentDB. L'utilisation du protocole TLS peut aider à protéger les données contre toute interception lorsqu'elles sont en transit entre une application et un cluster Amazon DocumentDB. Le chiffrement en transit pour un cluster Amazon DocumentDB est géré à l'aide du paramètre TLS dans le groupe de paramètres du cluster associé au cluster. Lorsque le chiffrement en transit est activé, des connexions sécurisées à l'aide de TLS sont nécessaires pour se connecter au cluster. Nous vous recommandons d'utiliser les paramètres TLS suivants : `tls1.2+``tls1.3+`, et`fips-140-3`.
### Correction
Pour plus d'informations sur la modification des paramètres TLS d'un cluster Amazon DocumentDB, [consultez la section Chiffrement des données en transit dans le](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) manuel Amazon *DocumentDB* Developer Guide.
# Contrôles CSPM du Security Hub pour DynamoDB
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon DynamoDB. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::DynamoDB::Table`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées valides | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minProvisionedReadCapacity` | Nombre minimal d'unités de capacité de lecture allouées pour le dimensionnement automatique de DynamoDB | Entier | `1` sur `40000` | Aucune valeur par défaut |
| `targetReadUtilization` | Pourcentage d'utilisation cible de la capacité de lecture | Entier | `20` sur `90` | Aucune valeur par défaut |
| `minProvisionedWriteCapacity` | Nombre minimal d'unités de capacité d'écriture allouées pour le dimensionnement automatique de DynamoDB | Entier | `1` sur `40000` | Aucune valeur par défaut |
| `targetWriteUtilization` | Pourcentage d'utilisation cible de la capacité d'écriture | Entier | `20` sur `90` | Aucune valeur par défaut |
Ce contrôle vérifie si une table Amazon DynamoDB peut adapter sa capacité de lecture et d'écriture selon les besoins. Le contrôle échoue si la table n'utilise pas le mode capacité à la demande ou le mode provisionné avec mise à l'échelle automatique configurée. Par défaut, ce contrôle nécessite uniquement la configuration de l'un de ces modes, sans tenir compte des niveaux spécifiques de capacité de lecture ou d'écriture. Vous pouvez éventuellement fournir des valeurs de paramètres personnalisées pour exiger des niveaux spécifiques de capacité de lecture et d'écriture ou un taux d'utilisation cible.
L'adaptation de la capacité à la demande permet d'éviter de limiter les exceptions, ce qui permet de maintenir la disponibilité de vos applications. Les tables DynamoDB qui utilisent le mode de capacité à la demande sont limitées uniquement par les quotas de table par défaut du débit DynamoDB. Pour augmenter ces quotas, vous pouvez déposer un ticket d'assistance auprès de Support. Les tables DynamoDB qui utilisent le mode provisionné avec mise à l'échelle automatique ajustent dynamiquement la capacité de débit allouée en fonction des modèles de trafic. *Pour plus d'informations sur la limitation des demandes DynamoDB, [consultez la section Limitation des demandes et capacité de rafale dans le manuel du développeur](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) Amazon DynamoDB.*
### Correction
*Pour activer le dimensionnement automatique de DynamoDB sur des tables existantes en mode capacité, consultez la section Activation du dimensionnement automatique de [DynamoDB sur des tables existantes dans le manuel Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable) Developer Guide.*
## [DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::DynamoDB::Table`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la point-in-time restauration (PITR) est activée pour une table Amazon DynamoDB.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. La restauration point-in-time DynamoDB automatise les sauvegardes des tables DynamoDB. Cela réduit le temps de restauration suite à des opérations de suppression ou d'écriture accidentelles. Les tables DynamoDB sur lesquelles le PITR est activé peuvent être restaurées à tout moment au cours des 35 derniers jours.
### Correction
*Pour restaurer une table DynamoDB à un point dans le temps, consultez la section [Restauration d'une table DynamoDB à un moment donné dans le manuel Amazon DynamoDB Developer Guide](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html).*
## [DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::DAX::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator (DAX) est chiffré au repos. Le contrôle échoue si le cluster DAX n'est pas chiffré au repos.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Le chiffrement ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, les autorisations d'API sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues.
### Correction
Vous ne pouvez pas activer ou désactiver le chiffrement au repos après la création d'un cluster. Vous devez recréer le cluster afin d'activer le chiffrement au repos. Pour obtenir des instructions détaillées sur la création d'un cluster DAX avec le chiffrement au repos activé, consultez la section [Activation du chiffrement au repos à l'aide du AWS Management Console](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) manuel du développeur *Amazon DynamoDB*.
## [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::DynamoDB::Table`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | Le contrôle produit un `PASSED` résultat si le paramètre est défini sur Vault Lock `true` et si la ressource utilise AWS Backup Vault Lock. | Booléen | `true` ou `false` | Aucune valeur par défaut |
Ce contrôle évalue si une `ACTIVE` table Amazon DynamoDB en cours est couverte par un plan de sauvegarde. Le contrôle échoue si la table DynamoDB n'est pas couverte par un plan de sauvegarde. Si vous définissez le `backupVaultLockCheck` paramètre égal à`true`, le contrôle est transmis uniquement si la table DynamoDB est sauvegardée dans AWS Backup un coffre verrouillé.
AWS Backup est un service de sauvegarde entièrement géré qui vous aide à centraliser et à automatiser la sauvegarde des données entre tous Services AWS. Vous pouvez ainsi créer des plans de sauvegarde qui définissent vos besoins en matière de sauvegarde, tels que la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. AWS Backup L'inclusion de tables DynamoDB dans vos plans de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
### Correction
*Pour ajouter une table DynamoDB à AWS Backup un plan de sauvegarde, [consultez la section Affectation de ressources à un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) dans le Guide du développeur.AWS Backup *
## [DynamoDB.5] Les tables DynamoDB doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::DynamoDB::Table`
**AWS Config règle :** `tagged-dynamodb-table` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une table Amazon DynamoDB possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la table ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à une table DynamoDB, [consultez la section Marquage des ressources dans DynamoDB dans](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) le manuel du développeur Amazon DynamoDB.*
## [DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::DynamoDB::Table`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre la suppression est activée sur une table Amazon DynamoDB. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une table DynamoDB.
Vous pouvez protéger une table DynamoDB contre toute suppression accidentelle à l'aide de la propriété de protection contre la suppression. L'activation de cette propriété pour les tables permet de garantir que les tables ne sont pas supprimées accidentellement lors des opérations de gestion des tables régulières effectuées par vos administrateurs. Cela permet d'éviter toute interruption de vos activités commerciales normales.
### Correction
Pour activer la protection contre la suppression pour une table DynamoDB, [consultez la section Utilisation de la protection contre la suppression](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) dans le manuel Amazon *DynamoDB* Developer Guide.
## [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
**Exigences connexes :** NIST.800-53.r5 AC-1 7, 3, NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 3 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::DAX::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator (DAX) est chiffré en transit, le type de chiffrement du point de terminaison étant défini sur TLS. Le contrôle échoue si le cluster DAX n'est pas chiffré pendant le transit.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Vous devez uniquement autoriser les connexions chiffrées via TLS pour accéder aux clusters DAX. Toutefois, le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec le chiffrement activé pour comprendre le profil de performance et l'impact du protocole TLS.
### Correction
Vous ne pouvez pas modifier le paramètre de chiffrement TLS après avoir créé un cluster DAX. Pour chiffrer un cluster DAX existant, créez un nouveau cluster avec le chiffrement en transit activé, transférez le trafic de votre application vers celui-ci, puis supprimez l'ancien cluster. Pour plus d’informations, consultez [Utilisation de la protection contre la suppression](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) dans le *Guide du développeur Amazon DynamoDB*.
# Contrôles Security Hub CSPM pour Amazon EC2
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Elastic Compute Cloud (Amazon EC2). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les instantanés Amazon Elastic Block Store ne sont pas publics. Le contrôle échoue si les instantanés Amazon EBS peuvent être restaurés par n'importe qui.
Les instantanés EBS sont utilisés pour sauvegarder les données de vos volumes EBS sur Amazon S3 à un moment précis. Vous pouvez utiliser les instantanés pour restaurer les états précédents des volumes EBS. Il est rarement acceptable de partager un instantané avec le public. Généralement, la décision de partager un instantané publiquement a été prise par erreur ou sans une compréhension complète des implications. Cette vérification permet de s'assurer que tout ce partage a été entièrement planifié et intentionnel.
### Correction
Pour rendre privé un instantané EBS public, consultez la section [Partager un instantané](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) dans le guide de l'*utilisateur Amazon EC2*. Pour **Actions, Modifier les autorisations**, choisissez **Privé**.
## [EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS AWS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, CIS Foundations Benchmark v3.0.0/5.4, (21), (11), (16), (21) AWS , (21), (4), (5) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le groupe de sécurité par défaut d'un VPC autorise le trafic entrant ou sortant. Le contrôle échoue si le groupe de sécurité autorise le trafic entrant ou sortant.
Les règles du [groupe de sécurité par défaut](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) autorisent tout le trafic sortant et entrant à partir d’interfaces réseau (et de leurs instances associées) affectées au même groupe de sécurité. Nous vous recommandons de ne pas utiliser le groupe de sécurité par défaut. Étant donné que le groupe de sécurité par défaut ne peut pas être supprimé, vous devez modifier le paramètre des règles de groupe de sécurité par défaut pour restreindre le trafic entrant et sortant. Vous empêchez ainsi le trafic non prévu, si le groupe de sécurité par défaut est accidentellement configuré pour des ressources telles que les instances EC2.
### Correction
Pour remédier à ce problème, commencez par créer de nouveaux groupes de sécurité dotés du moindre privilège. Pour obtenir des instructions, consultez la section [Créer un groupe de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) dans le guide de l'*utilisateur Amazon VPC*. Attribuez ensuite les nouveaux groupes de sécurité à vos instances EC2. Pour obtenir des instructions, consultez [Modifier le groupe de sécurité d'une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) dans le guide de l'*utilisateur Amazon EC2*.
Après avoir attribué les nouveaux groupes de sécurité à vos ressources, supprimez toutes les règles entrantes et sortantes des groupes de sécurité par défaut. Pour obtenir des instructions, consultez la section [Configurer les règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) dans le *guide de l'utilisateur Amazon VPC*.
## [EC2.3] Les volumes Amazon EBS attachés doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::Volume`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie que les volumes EBS attachés sont chiffrés. Pour réussir cette vérification, les volumes EBS doivent être en cours d'utilisation et chiffrés. Si le volume EBS n'est pas attaché, il ne fait pas partie de la portée de cette vérification.
Pour une couche supplémentaire de sécurité de vos données sensibles dans les volumes EBS, vous devez activer le chiffrement EBS au repos. Le chiffrement Amazon EBS offre une solution simple de chiffrement pour vos ressources EBS, qui n'exige pas de développer, contrôler ni sécuriser votre propre infrastructure de gestion de clés. Il utilise des clés KMS lors de la création de volumes chiffrés et de snapshots.
Pour en savoir plus sur le chiffrement Amazon EBS, consultez le [manuel Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) *EC2 User Guide*.
### Correction
Il n'existe aucun moyen direct de chiffrer un volume ou un instantané non chiffré existant. Vous pouvez uniquement chiffrer un nouveau volume ou instantané lorsque vous le créez.
Si vous avez activé le chiffrement par défaut, Amazon EBS chiffre le nouveau volume ou instantané obtenu à l'aide de votre clé par défaut pour le chiffrement Amazon EBS. Même si vous n'avez pas activé le chiffrement par défaut, vous pouvez activer le chiffrement lorsque vous créez un volume ou un instantané spécifique. Dans les deux cas, vous pouvez remplacer la clé par défaut pour le chiffrement Amazon EBS et choisir une clé symétrique gérée par le client.
Pour plus d'informations, consultez les sections [Création d'un volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) et [Copie d'un instantané Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier - Inventaire
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `AllowedDays` | Nombre de jours pendant lesquels l'instance EC2 est autorisée à être arrêtée avant de générer un échec de recherche. | Entier | `1` sur `365` | `30` |
Ce contrôle vérifie si une instance Amazon EC2 a été arrêtée pendant plus de jours que le nombre de jours autorisé. Le contrôle échoue si une instance EC2 est arrêtée pendant une durée supérieure à la période maximale autorisée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période maximale autorisée, Security Hub CSPM utilise une valeur par défaut de 30 jours.
Lorsqu'une instance EC2 n'est pas exécutée pendant une longue période, cela crée un risque de sécurité car l'instance n'est pas activement maintenue (analysée, corrigée, mise à jour). S'il est lancé ultérieurement, l'absence de maintenance appropriée peut entraîner des problèmes inattendus dans votre AWS environnement. Pour maintenir en toute sécurité une instance EC2 dans un état inactif au fil du temps, démarrez-la régulièrement pour la maintenance, puis arrêtez-la après la maintenance. Idéalement, il devrait s'agir d'un processus automatisé.
### Correction
Pour mettre fin à une instance EC2 inactive, consultez la section [Résiliation d'une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) dans le guide de l'*utilisateur Amazon EC2.*
## [EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/3.7, CIS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, NIST.800-53.r5 AC-4 (26), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.R2 3.3.1, NIST.800-171.R2 3.13.1 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, PCI DSS v3.2.2 1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6 AWS
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPC`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `trafficType`: `REJECT` (non personnalisable)
Ce contrôle vérifie si les journaux de flux Amazon VPC sont trouvés et activés. VPCs Le type de trafic est défini sur`Reject`. Le contrôle échoue si les journaux de flux VPC ne sont pas activés VPCs dans votre compte.
**Note**
Ce contrôle ne vérifie pas si les journaux de flux Amazon VPC sont activés via Amazon Security Lake pour le. Compte AWS
Grâce à la fonctionnalité VPC Flow Logs, vous pouvez capturer des informations sur le trafic d'adresses IP à destination et en provenance des interfaces réseau de votre VPC. Après avoir créé un journal de flux, vous pouvez consulter et récupérer ses données dans CloudWatch Logs. Pour réduire les coûts, vous pouvez également envoyer vos journaux de flux vers Amazon S3.
Security Hub CSPM vous recommande d'activer la journalisation des flux pour les rejets de paquets pour. VPCs Les journaux de flux fournissent une visibilité sur le trafic réseau qui traverse le VPC et peuvent détecter le trafic anormal ou fournir des informations lors des flux de travail de sécurité.
Par défaut, l'enregistrement inclut des valeurs pour les différents composants du flux d'adresses IP, notamment la source, la destination et le protocole. Pour plus d'informations et une description des champs de journal, consultez la section [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) dans le guide de l'utilisateur Amazon *VPC*.
### Correction
Pour créer un journal de flux VPC, consultez la section [Créer un journal de flux dans le guide](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) de l'utilisateur Amazon *VPC*. **Après avoir ouvert la console Amazon VPC, choisissez Your. VPCs** Pour **Filtrer**, choisissez **Rejeter** ou **Tout**.
## [EC2.7] Le chiffrement par défaut EBS doit être activé
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 AWS SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement au niveau du compte est activé par défaut pour les volumes Amazon Elastic Block Store (Amazon EBS). Le contrôle échoue si le chiffrement au niveau du compte n'est pas activé pour les volumes EBS.
Lorsque le chiffrement est activé pour votre compte, les volumes Amazon EBS et les copies instantanées sont chiffrés au repos. Cela ajoute un niveau de protection supplémentaire à vos données. Pour plus d’informations, consultez la section [Chiffrement par défaut](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) dans le *Guide de l’utilisateur Amazon EC2*.
### Correction
Pour configurer le chiffrement par défaut pour les volumes Amazon EBS, consultez la section [Chiffrement par défaut](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS AWS Foundations Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-6
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la version des métadonnées de votre instance EC2 est configurée avec le service de métadonnées d'instance version 2 (IMDSv2). Le contrôle passe s'il `HttpTokens` est défini sur obligatoire pour IMDSv2. Le contrôle échoue s'il `HttpTokens` est défini sur`optional`.
Vous utilisez les métadonnées de l'instance pour configurer ou gérer l'instance en cours d'exécution. L'IMDS donne accès à des informations d'identification temporaires fréquemment renouvelées. Ces informations d'identification éliminent le besoin de coder en dur ou de distribuer des informations d'identification sensibles aux instances manuellement ou par programmation. L'IMDS est attaché localement à chaque instance EC2. Il fonctionne sur une adresse IP spéciale « lien local » 169.254.169.254. Cette adresse IP n'est accessible que par le logiciel qui s'exécute sur l'instance.
La version 2 de l'IMDS ajoute de nouvelles protections pour les types de vulnérabilités suivants. Ces vulnérabilités pourraient être utilisées pour tenter d'accéder à l'IMDS.
+ Pare-feu pour applications de sites Web ouverts
+ Proxies inverses ouverts
+ Vulnérabilités de falsification de requêtes côté serveur (SSRF)
+ Pare-feux de couche 3 ouverts et traduction d'adresses réseau (NAT)
Security Hub CSPM vous recommande de configurer vos instances EC2 avec. IMDSv2
### Correction
Pour configurer les instances EC2 avec IMDSv2, consultez la section [Chemin recommandé pour exiger IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) dans le guide de l'*utilisateur Amazon EC2.*
## [EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse publique IPv4
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instances EC2 possèdent une adresse IP publique. Le contrôle échoue si le `publicIp` champ est présent dans l'élément de configuration de l'instance EC2. Ce contrôle s'applique uniquement aux IPv4 adresses.
Une adresse IPv4 publique est une adresse IP accessible depuis Internet. Si vous lancez votre instance avec une adresse IP publique, votre instance EC2 est accessible depuis Internet. Une adresse IPv4 privée est une adresse IP qui n'est pas accessible depuis Internet. Vous pouvez utiliser des adresses IPv4 privées pour la communication entre les instances EC2 d'un même VPC ou de votre réseau privé connecté.
IPv6 les adresses sont uniques au monde et sont donc accessibles depuis Internet. Cependant, par défaut, tous les sous-réseaux ont l'attribut d' IPv6 adressage défini sur false. Pour plus d'informations IPv6, consultez la section [Adressage IP dans votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) dans le guide de l'utilisateur Amazon *VPC*.
Si vous avez un cas d'utilisation légitime pour gérer des instances EC2 avec des adresses IP publiques, vous pouvez supprimer les résultats de ce contrôle. Pour plus d'informations sur les options d'architecture frontale, consultez le [blog sur AWS l'architecture](https://aws.amazon.com/blogs/architecture/) ou la [série de AWS vidéos This Is My Architecture](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile).
### Correction
Utilisez un VPC autre que celui par défaut afin qu'aucune adresse IP publique ne soit attribuée par défaut à votre instance.
Lorsque vous lancez une instance EC2 dans un VPC par défaut, une adresse IP publique lui est attribuée. Lorsque vous lancez une instance EC2 dans un VPC autre que celui par défaut, la configuration du sous-réseau détermine si elle reçoit une adresse IP publique. Le sous-réseau possède un attribut permettant de déterminer si les nouvelles instances EC2 du sous-réseau reçoivent une adresse IP publique du pool d'adresses publiques IPv4 .
Vous pouvez dissocier une adresse IP publique attribuée automatiquement de votre instance EC2. Pour plus d'informations, consultez la section [ IPv4 Adresses publiques et noms d'hôte DNS externes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) dans le guide de l'*utilisateur Amazon EC2.*
## [EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (4), NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.13.1 NIST.800-53.r5 SC-7
**Catégorie :** Protection > Configuration réseau sécurisée > Accès privé à l'API
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPC`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `serviceName`: `ec2` (non personnalisable)
Ce contrôle vérifie si un point de terminaison de service pour Amazon EC2 est créé pour chaque VPC. Le contrôle échoue si aucun point de terminaison VPC n'a été créé pour le service Amazon EC2 pour le service Amazon EC2.
Ce contrôle évalue les ressources dans un seul compte. Il ne peut pas décrire les ressources extérieures au compte. Étant donné que AWS Config Security Hub CSPM n'effectue pas de vérifications entre comptes, vous constaterez VPCs que `FAILED` les résultats seront partagés entre les comptes. Security Hub CSPM vous recommande de supprimer ces `FAILED` résultats.
Pour améliorer le niveau de sécurité de votre VPC, vous pouvez configurer Amazon EC2 pour utiliser un point de terminaison VPC d'interface. Les points de terminaison de l'interface sont AWS PrivateLink alimentés par une technologie qui vous permet d'accéder aux opérations de l'API Amazon EC2 en privé. Il limite tout le trafic réseau entre votre VPC et Amazon EC2 vers le réseau Amazon. Comme les points de terminaison ne sont pris en charge que dans la même région, vous ne pouvez pas créer de point de terminaison entre un VPC et un service d'une région différente. Cela empêche les appels d'API Amazon EC2 involontaires vers d'autres régions.
*Pour en savoir plus sur la création de points de terminaison VPC pour Amazon EC2, consultez Amazon EC2 [et interfacez les points de terminaison VPC dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html).*
### Correction
*Pour créer un point de terminaison d'interface vers Amazon EC2 à partir de la console Amazon VPC, consultez la section Créer [un point de terminaison VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) dans le guide.AWS PrivateLink * Pour le **nom du service**, choisissez **com.amazonaws. *region*.ec2.**
Vous pouvez également créer et associer une politique de point de terminaison à votre point de terminaison VPC afin de contrôler l'accès à l'API Amazon EC2. Pour obtenir des instructions sur la création d'une politique de point de terminaison VPC, consultez la section [Créer une politique de point de terminaison](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.12] L'Amazon EIPs EC2 non utilisé doit être supprimé
**Exigences associées :** PCI DSS v3.2.1/2.4, nIST.800-53.R5 CM-8 (1)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::EIP`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les adresses IP élastiques (EIP) allouées à un VPC sont attachées à des instances EC2 ou à des interfaces réseau élastiques en cours d'utilisation (). ENIs
Un échec de recherche indique que vous n'avez peut-être pas utilisé l'EC2. EIPs
Cela vous aidera à maintenir un inventaire précis des actifs EIPs dans l'environnement de données de votre titulaire de carte (CDE).
### Correction
Pour libérer une EIP non utilisée, consultez la section [Libérer une adresse IP élastique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/4.1,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.13.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, PCI DSS v4.0.1/1.3.1
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)
**Type de calendrier :** changement déclenché et périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22. Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous vous recommandons de faire en sorte qu'aucun groupe de sécurité n'autorise un accès entrant sans restriction au port 22. La suppression d'une connectivité illimitée aux services de la console à distance (SSH, par exemple) réduit le risque qu'un serveur soit compromis.
### Correction
Pour interdire l'accès au port 22, supprimez la règle qui autorise un tel accès pour chaque groupe de sécurité associé à un VPC. Pour obtenir des instructions, consultez la section [Mettre à jour les règles des groupes de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) dans le *guide de l'utilisateur Amazon EC2*. Après avoir sélectionné un groupe de sécurité dans la console Amazon EC2, choisissez **Actions, Modifier les règles entrantes**. Supprimez la règle qui autorise l'accès au port 22.
## [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(la règle créée est`restricted-rdp`)
**Type de calendrier :** changement déclenché et périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389. Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous vous recommandons de faire en sorte qu'aucun groupe de sécurité n'autorise un accès entrant sans restriction au port 3389. La suppression d'une connectivité illimitée aux services de la console à distance (RDP, par exemple) réduit le risque qu'un serveur soit compromis.
### Correction
Pour interdire l'accès au port 3389, supprimez la règle qui autorise un tel accès pour chaque groupe de sécurité associé à un VPC. Pour obtenir des instructions, consultez la section [Mettre à jour les règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) dans le *guide de l'utilisateur Amazon VPC*. Après avoir sélectionné un groupe de sécurité dans la console Amazon VPC, choisissez **Actions, Modifier les règles entrantes**. Supprimez la règle qui autorise l'accès au port 3389.
## [EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::Subnet`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un sous-réseau Amazon Virtual Private Cloud (Amazon VPC) est configuré pour attribuer automatiquement des adresses IP publiques. Le contrôle échoue si le sous-réseau est configuré pour attribuer automatiquement des IPv6 adresses publiques IPv4 ou publiques.
Les sous-réseaux possèdent des attributs qui déterminent si les interfaces réseau reçoivent automatiquement le public IPv4 et les IPv6 adresses. Pour IPv4, cet attribut est défini sur pour les sous-réseaux par défaut et `TRUE` `FALSE` pour les sous-réseaux autres que ceux par défaut (à l'exception des sous-réseaux autres que ceux par défaut créés via l'assistant de lancement d'instance EC2, où il est défini sur). `TRUE` Car IPv6, cet attribut est défini sur tous `FALSE` les sous-réseaux par défaut. Lorsque ces attributs sont activés, les instances lancées dans le sous-réseau reçoivent automatiquement les adresses IP correspondantes (IPv4 ou IPv6) sur leur interface réseau principale.
### Correction
Pour configurer un sous-réseau afin de ne pas attribuer d'adresses IP publiques, consultez [Modifier les attributs d'adressage IP de votre sous-réseau](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) dans le guide de l'utilisateur Amazon *VPC*.
## [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
**Exigences connexes :** NIST.800-53.R5 CM-8 (1), NIST.800-171.R2 3.4.7, PCI DSS v4.0.1/1.2.7
**Catégorie :** Protection > Sécurité du réseau
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::NetworkAcl`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe des listes de contrôle d'accès réseau (réseau ACLs) non utilisées dans votre cloud privé virtuel (VPC). Le contrôle échoue si l'ACL réseau n'est pas associée à un sous-réseau. Le contrôle ne génère pas de résultats pour une ACL réseau par défaut non utilisée.
Le contrôle vérifie la configuration des éléments de la ressource `AWS::EC2::NetworkAcl` et détermine les relations entre les ACL du réseau.
Si la seule relation est le VPC de l'ACL réseau, le contrôle échoue.
Si d'autres relations sont répertoriées, le contrôle est transféré.
### Correction
Pour obtenir des instructions sur la suppression d'un ACL réseau inutilisé, consultez [Supprimer un ACL réseau](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) dans le guide de l'*utilisateur Amazon VPC*. Vous ne pouvez pas supprimer l'ACL réseau par défaut ou une ACL associée à des sous-réseaux.
## [EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENIs
**Exigences connexes :** NIST.800-53.r5 AC-4 (21)
**Catégorie :** Protection > Sécurité du réseau
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance EC2 utilise plusieurs interfaces réseau élastiques (ENI) ou adaptateurs Elastic Fabric (EFA). Ce contrôle passe si un seul adaptateur réseau est utilisé. Le contrôle inclut une liste de paramètres facultatifs pour identifier les ENI autorisés. Ce contrôle échoue également si une instance EC2 appartenant à un cluster Amazon EKS utilise plusieurs ENI. Si vos instances EC2 doivent en avoir plusieurs dans ENIs le cadre d'un cluster Amazon EKS, vous pouvez supprimer ces résultats de contrôle.
Plusieurs ENIs peuvent entraîner des instances à double hébergement, c'est-à-dire des instances dotées de plusieurs sous-réseaux. Cela peut ajouter à la complexité de la sécurité du réseau et introduire des chemins et des accès non intentionnels au réseau.
### Correction
Pour détacher une interface réseau d'une instance EC2, consultez la section [Détacher une interface réseau d'une instance dans le guide de l'utilisateur](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) *Amazon* EC2.
## [EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1 NIST.800-53.r5 SC-7
**Catégorie :** Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `authorizedTcpPorts` | Liste des ports TCP autorisés | IntegerList (minimum de 1 article et maximum de 32 articles) | `1` sur `65535` | `[80,443]` |
| `authorizedUdpPorts` | Liste des ports UDP autorisés | IntegerList (minimum de 1 article et maximum de 32 articles) | `1` sur `65535` | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise le trafic entrant sans restriction en provenance de ports non autorisés. L'état du contrôle est déterminé comme suit :
+ Si vous utilisez la valeur par défaut pour`authorizedTcpPorts`, le contrôle échoue si le groupe de sécurité autorise le trafic entrant sans restriction depuis un port autre que les ports 80 et 443.
+ Si vous fournissez des valeurs personnalisées pour `authorizedTcpPorts` ou`authorizedUdpPorts`, le contrôle échoue si le groupe de sécurité autorise un trafic entrant illimité en provenance d'un port non répertorié.
Les groupes de sécurité fournissent un filtrage dynamique du trafic réseau entrant et sortant vers. AWS Les règles des groupes de sécurité doivent respecter le principe de l'accès le moins privilégié. L'accès illimité (adresse IP avec le suffixe /0) augmente les risques d'activités malveillantes telles que le piratage, les denial-of-service attaques et la perte de données. À moins qu'un port ne soit spécifiquement autorisé, le port doit refuser un accès illimité.
### Correction
Pour modifier un groupe de sécurité, consultez la section [Travailler avec des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) dans le guide de l'*utilisateur Amazon VPC*.
## [EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Accès réseau restreint
**Gravité :** Critique
**Type de ressource :** `AWS::EC2::SecurityGroup`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(la règle créée est`vpc-sg-restricted-common-ports`)
**Type de calendrier :** changement déclenché et périodique
**Paramètres :** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (non personnalisable)
Ce contrôle vérifie si le trafic entrant non restreint pour un groupe de sécurité Amazon EC2 est accessible aux ports spécifiés considérés comme présentant un risque élevé. Ce contrôle échoue si l'une des règles d'un groupe de sécurité autorise le trafic entrant depuis '0.0.0.0/0' ou ': :/0' vers ces ports.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . L'accès illimité (0.0.0.0/0) augmente les risques d'activités malveillantes, telles que le piratage, les denial-of-service attaques et la perte de données. Aucun groupe de sécurité ne doit autoriser un accès d'entrée illimité aux ports suivants :
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 110 (POP3)
+ 135 (PIÈCE)
+ 143 (CARTE)
+ 445 (CHIFFRES)
+ 1433, 1434 (MSSQL)
+ 3000 (frameworks de développement Web Go, Node.js et Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 433 (ahsp)
+ 5000 (frameworks de développement Web en Python)
+ 5432 (postgresql)
+ 5500 (fcp-addr-srvr1)
+ 5601 (OpenSearch Tableaux de bord)
+ 8080 (proxy)
+ 8088 (ancien port HTTP)
+ 8888 (port HTTP alternatif)
+ 9200 ou 9300 () OpenSearch
### Correction
Pour supprimer des règles d'un groupe de sécurité, consultez la section [Supprimer des règles d'un groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5), NIST.800-171.R2 3.1.13, NIST.800-171.R2 3.1.20
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPNConnection`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Un tunnel VPN est un lien crypté par lequel les données peuvent passer du réseau du client vers ou AWS depuis une connexion AWS Site-to-Site VPN. Chaque connexion VPN comprend deux tunnels VPN que vous pouvez utiliser simultanément pour une haute disponibilité. Il est important de s'assurer que les deux tunnels VPN sont prêts pour une connexion VPN afin de confirmer une connexion sécurisée et hautement disponible entre un AWS VPC et votre réseau distant.
Ce contrôle vérifie que les deux tunnels VPN fournis par le AWS Site-to-Site VPN sont en état UP. Le contrôle échoue si l'un des tunnels ou les deux sont en état d'arrêt.
### Correction
Pour modifier les options du tunnel VPN, consultez la section [Modification des options du tunnel Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) dans le Guide de l'utilisateur du AWS Site-to-Site VPN.
## [EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/5.2, CIS AWS Foundations Benchmark v1.4.0/5.1, CIS Foundations Benchmark v3.0.0/5.1, (21), (1), NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 CA-9 NIST.800-171.R2 3.1.3 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.13.1, PCI DSS v4.0.1/1.3.1 AWS
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::NetworkAcl`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une liste de contrôle d'accès réseau (ACL réseau) autorise un accès illimité aux ports TCP par défaut pour le trafic SSH/RDP entrant. Le contrôle échoue si l'entrée entrante de l'ACL réseau autorise un bloc CIDR source de '0.0.0.0/0' ou ': :/0' pour les ports TCP 22 ou 3389. Le contrôle ne génère pas de résultats pour une ACL réseau par défaut.
L'accès aux ports d'administration du serveur distant, tels que le port 22 (SSH) et le port 3389 (RDP), ne doit pas être accessible au public, car cela peut permettre un accès involontaire aux ressources de votre VPC.
### Correction
Pour modifier les règles de trafic réseau ACL, consultez la section [Travailler avec le réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) dans le guide de l'*utilisateur Amazon VPC*.
## [EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés
**Catégorie :** Identifier - Inventaire
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si des groupes de sécurité sont attachés à des instances Amazon Elastic Compute Cloud (Amazon EC2) ou à une interface réseau élastique. Le contrôle échoue si le groupe de sécurité n'est pas associé à une instance Amazon EC2 ou à une interface Elastic Network.
**Important**
Le 20 septembre 2023, Security Hub CSPM a retiré ce contrôle des normes AWS Foundational Security Best Practices et du NIST SP 800-53 Revision 5. Ce contrôle continue de faire partie de la norme de AWS Control Tower gestion des services. Ce contrôle produit un résultat positif si des groupes de sécurité sont attachés à des instances EC2 ou à une interface elastic network. Toutefois, dans certains cas d'utilisation, les groupes de sécurité indépendants ne présentent aucun risque de sécurité. Vous pouvez utiliser d'autres contrôles EC2, tels que EC2.2, EC2.13, EC2.14, EC2.18 et EC2.19, pour surveiller vos groupes de sécurité.
### Correction
Pour créer, attribuer et supprimer des groupes de sécurité, consultez [la section Groupes de sécurité pour vos instances EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::TransitGateway`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les passerelles de transit EC2 acceptent automatiquement les pièces jointes VPC partagées. Ce contrôle échoue pour une passerelle de transit qui accepte automatiquement les demandes de pièces jointes VPC partagées.
L'activation permet de `AutoAcceptSharedAttachments` configurer une passerelle de transit pour qu'elle accepte automatiquement toutes les demandes de pièce jointe VPC entre comptes sans vérifier la demande ou le compte d'origine de la pièce jointe. Pour suivre les meilleures pratiques en matière d'autorisation et d'authentification, nous vous recommandons de désactiver cette fonctionnalité afin de garantir que seules les demandes de pièces jointes VPC autorisées sont acceptées.
### Correction
Pour modifier une passerelle de transit, consultez la section [Modifier une passerelle de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) dans le manuel Amazon VPC Developer Guide.
## [EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
**Exigences connexes :** NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::Instance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le type de virtualisation d'une instance EC2 est paravirtuel. Le contrôle échoue si le `virtualizationType` de l'instance EC2 est défini sur. `paravirtual`
Linux Amazon Machine Images (AMIs) utilise l'un des deux types de virtualisation suivants : machine virtuelle paravirtuelle (PV) ou machine virtuelle matérielle (HVM). Les principales différences entre le PV et le HVM AMIs résident dans la manière dont ils démarrent et dans la possibilité de tirer parti d'extensions matérielles spéciales (processeur, réseau et stockage) pour de meilleures performances.
Historiquement, les clients photovoltaïques affichaient de meilleures performances que les clients HVM dans de nombreux cas, mais en raison des améliorations apportées à la virtualisation HVM et de la disponibilité de pilotes photovoltaïques pour le HVM AMIs, cela n'est plus vrai. Pour plus d'informations, consultez la section [Types de virtualisation d'AMI Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) dans le guide de l'utilisateur Amazon EC2.
### Correction
Pour mettre à jour une instance EC2 vers un nouveau type d'instance, consultez [Modifier le type d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::LaunchTemplate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les modèles de lancement Amazon EC2 sont configurés pour attribuer des adresses IP publiques aux interfaces réseau lors du lancement. Le contrôle échoue si un modèle de lancement EC2 est configuré pour attribuer une adresse IP publique aux interfaces réseau ou si au moins une interface réseau possède une adresse IP publique.
Une adresse IP publique est une adresse accessible depuis Internet. Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau peuvent être accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos charges de travail.
### Correction
Pour mettre à jour un modèle de lancement EC2, consultez [Modifier les paramètres de l'interface réseau par défaut](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) dans le manuel *Amazon EC2 Auto Scaling* User Guide.
## [EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Volume`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | Le contrôle produit un `PASSED` résultat si le paramètre est défini sur Vault Lock `true` et si la ressource utilise AWS Backup Vault Lock. | Booléen | `true` ou `false` | Aucune valeur par défaut |
Ce contrôle évalue si un volume Amazon EBS en cours est `in-use` couvert par un plan de sauvegarde. Le contrôle échoue si un volume EBS n'est pas couvert par un plan de sauvegarde. Si vous définissez le `backupVaultLockCheck` paramètre égal à`true`, le contrôle est transféré uniquement si le volume EBS est sauvegardé dans un coffre-fort AWS Backup verrouillé.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité. Ils renforcent également la résilience de vos systèmes. L'inclusion de volumes Amazon EBS dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
### Correction
Pour ajouter un volume Amazon EBS à un plan de AWS Backup sauvegarde, consultez la section [Affectation de ressources à un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) dans le manuel du *AWS Backup développeur*.
## [EC2.33] Les pièces jointes de la passerelle de transit EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TransitGatewayAttachment`
**AWS Config règle :** `tagged-ec2-transitgatewayattachment` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une pièce jointe à une passerelle de transit Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la pièce jointe à la passerelle de transit ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la pièce jointe de la passerelle de transit n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une pièce jointe d'une passerelle de transit EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TransitGatewayRouteTable`
**AWS Config règle :** `tagged-ec2-transitgatewayroutetable` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une table de routage d'une passerelle de transit Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la table de routage de la passerelle de transit ne contient aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table de routage de la passerelle de transit n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à la table de routage d'une passerelle de transit EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.35] Les interfaces réseau EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::NetworkInterface`
**AWS Config règle :** `tagged-ec2-networkinterface` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une interface réseau Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'interface réseau ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'interface réseau n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une interface réseau EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.36] Les passerelles client EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::CustomerGateway`
**AWS Config règle :** `tagged-ec2-customergateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle client Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle client ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle client n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle client EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.37] Les adresses IP élastiques EC2 doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::EIP`
**AWS Config règle :** `tagged-ec2-eip` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une adresse IP élastique Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'adresse IP élastique ne possède aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'adresse IP élastique n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une adresse IP élastique EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.38] Les instances EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Instance`
**AWS Config règle :** `tagged-ec2-instance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une instance Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'instance ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une instance EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.39] Les passerelles Internet EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::InternetGateway`
**AWS Config règle :** `tagged-ec2-internetgateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle Internet Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle Internet ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle Internet n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle Internet EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.40] Les passerelles NAT EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::NatGateway`
**AWS Config règle :** `tagged-ec2-natgateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle de traduction d'adresses réseau (NAT) Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle NAT ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle NAT n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle NAT EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.41] Le réseau EC2 doit être étiqueté ACLs
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::NetworkAcl`
**AWS Config règle :** `tagged-ec2-networkacl` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une liste de contrôle d'accès réseau (ACL réseau) Amazon EC2 contient des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'ACL réseau ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si aucune clé n'est associée à l'ACL du réseau. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une ACL du réseau EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.42] Les tables de routage EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::RouteTable`
**AWS Config règle :** `tagged-ec2-routetable` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une table de routage Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la table de routage ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table de routage n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une table de routage EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.43] Les groupes de sécurité EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::SecurityGroup`
**AWS Config règle :** `tagged-ec2-securitygroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le groupe de sécurité ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sécurité n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un groupe de sécurité EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.44] Les sous-réseaux EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Subnet`
**AWS Config règle :** `tagged-ec2-subnet` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un sous-réseau Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le sous-réseau ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le sous-réseau n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un sous-réseau EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.45] Les volumes EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::Volume`
**AWS Config règle :** `tagged-ec2-volume` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un volume Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le volume ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le volume n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un volume EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.46] Amazon VPCs doit être tagué
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::VPC`
**AWS Config règle :** `tagged-ec2-vpc` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un Amazon Virtual Private Cloud (Amazon VPC) possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le VPC Amazon ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre. `requiredTagKeys` Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le VPC Amazon n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un VPC, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::VPCEndpointService`
**AWS Config règle :** `tagged-ec2-vpcendpointservice` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un service de point de terminaison Amazon VPC possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le service de point de terminaison ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le service de point de terminaison n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un service de point de terminaison Amazon VPC, consultez la section [Gérer les balises](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) dans la section [Configurer un service de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) du AWS PrivateLink Guide.*
## [EC2.48] Les journaux de flux Amazon VPC doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::FlowLog`
**AWS Config règle :** `tagged-ec2-flowlog` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un journal de flux Amazon VPC contient des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le journal de flux ne contient aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le journal de flux n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un journal de flux Amazon VPC, consultez la section Marquer [un journal de flux dans le guide](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) de l'utilisateur Amazon *VPC*.
## [EC2.49] Les connexions d'appairage Amazon VPC doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::VPCPeeringConnection`
**AWS Config règle :** `tagged-ec2-vpcpeeringconnection` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une connexion d'appairage Amazon VPC possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la connexion d'appairage ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre `requiredTagKeys` ne sont pas présentes. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la connexion d'appairage n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à une connexion d'appairage Amazon VPC, consultez la section Marquer vos ressources [Amazon EC2 dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*
## [EC2.50] Les passerelles VPN EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::VPNGateway`
**AWS Config règle :** `tagged-ec2-vpngateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une passerelle VPN Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle VPN ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle VPN n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle VPN EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.12, NIST.800-171.R2 3.20, PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::ClientVpnEndpoint`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des connexions client est activée sur un AWS Client VPN terminal. Le contrôle échoue si la journalisation des connexions client n'est pas activée sur le terminal.
Les points de terminaison VPN client permettent aux clients distants de se connecter en toute sécurité aux ressources d'un Virtual Private Cloud (VPC) dans. AWS Les journaux de connexion vous permettent de suivre l'activité des utilisateurs sur le point de terminaison VPN et offrent une visibilité. Lorsque vous activez la journalisation des connexions, vous pouvez spécifier le nom d'un flux de journaux dans le groupe de journaux. Si vous ne spécifiez pas de flux de journal, le service Client VPN en crée un pour vous.
### Correction
Pour activer la journalisation des connexions, consultez la section [Activer la journalisation des connexions pour un point de terminaison Client VPN existant](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) dans le *Guide de l'AWS Client VPN administrateur*.
## [EC2.52] Les passerelles de transit EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TransitGateway`
**AWS Config règle :** `tagged-ec2-transitgateway` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une passerelle de transit Amazon EC2 possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la passerelle de transit ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle de transit n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une passerelle de transit EC2, consultez la section [Marquer vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1
**Catégorie :** Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `ipType` | La version IP | String | Non personnalisable | `IPv4` |
| `restrictPorts` | Liste des ports qui doivent rejeter le trafic entrant | IntegerList | Non personnalisable | `22,3389` |
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise l'entrée depuis 0.0.0.0/0 vers les ports d'administration du serveur distant (ports 22 et 3389). Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis 0.0.0.0/0 vers le port 22 ou 3389.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous recommandons qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité aux ports d'administration des serveurs distants, tels que SSH vers le port 22 et RDP vers le port 3389, en utilisant les protocoles TDP (6), UDP (17) ou ALL (-1). Permettre au public d'accéder à ces ports augmente la surface d'attaque des ressources et le risque de compromission des ressources.
### Correction
Pour mettre à jour une règle de groupe de sécurité EC2 afin d'interdire le trafic entrant vers les ports spécifiés, consultez la section [Mettre à jour les règles du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) dans le guide de l'*utilisateur Amazon EC2*. Après avoir sélectionné un groupe de sécurité dans la console Amazon EC2, choisissez **Actions, Modifier les règles entrantes**. Supprimez la règle qui autorise l'accès au port 22 ou au port 3389.
## [EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/5.4, CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1
**Catégorie :** Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SecurityGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `ipType` | La version IP | String | Non personnalisable | `IPv6` |
| `restrictPorts` | Liste des ports qui doivent rejeter le trafic entrant | IntegerList | Non personnalisable | `22,3389` |
Ce contrôle vérifie si un groupe de sécurité Amazon EC2 autorise l'entrée depuis : :/0 vers les ports d'administration du serveur distant (ports 22 et 3389). Le contrôle échoue si le groupe de sécurité autorise l'entrée depuis : :/0 vers le port 22 ou 3389.
Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS . Nous recommandons qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité aux ports d'administration des serveurs distants, tels que SSH vers le port 22 et RDP vers le port 3389, en utilisant les protocoles TDP (6), UDP (17) ou ALL (-1). Permettre au public d'accéder à ces ports augmente la surface d'attaque des ressources et le risque de compromission des ressources.
### Correction
Pour mettre à jour une règle de groupe de sécurité EC2 afin d'interdire le trafic entrant vers les ports spécifiés, consultez la section [Mettre à jour les règles du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) dans le guide de l'*utilisateur Amazon EC2*. Après avoir sélectionné un groupe de sécurité dans la console Amazon EC2, choisissez **Actions, Modifier les règles entrantes**. Supprimez la règle qui autorise l'accès au port 22 ou au port 3389.
## [EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ecr.api |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si un cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour l'API Amazon ECR. Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour l'API ECR. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ecr.dkr |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si un cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour Docker Registry. Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour Docker Registry. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ssm |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si le cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour celui-ci. AWS Systems Manager Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour Systems Manager. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ssm-contacts |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si le cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour AWS Systems Manager les contacts d'Incident Manager. Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour les contacts de Systems Manager Incident Manager. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Obligatoire | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Obligatoire | Nom du service évalué par le contrôle | String | Non personnalisable | ssm-incidents |
| vpcIds | Facultatif | Liste séparée par des virgules des points de terminaison Amazon VPC IDs pour VPC. S'il est fourni, le contrôle échoue si les services spécifiés dans le serviceName paramètre ne possèdent aucun de ces points de terminaison VPC. | StringList | Personnalisez avec un ou plusieurs VPC IDs | Aucune valeur par défaut |
Ce contrôle vérifie si le cloud privé virtuel (VPC) que vous gérez possède un point de terminaison VPC d'interface pour Incident Manager. AWS Systems Manager Le contrôle échoue si le VPC ne possède pas de point de terminaison VPC d'interface pour Systems Manager Incident Manager. Ce contrôle évalue les ressources dans un seul compte.
AWS PrivateLink permet aux clients d'accéder aux services hébergés de AWS manière hautement disponible et évolutive, tout en maintenant l'ensemble du trafic réseau au sein du AWS réseau. Les utilisateurs des services peuvent accéder PrivateLink de manière privée aux services alimentés par leur VPC ou sur site, sans passer par le public IPs et sans avoir à faire transiter le trafic sur Internet.
### Correction
*Pour configurer un point de terminaison VPC, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le Guide.AWS PrivateLink *
## [EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
**Exigences connexes :** PCI DSS v4.0.1/2.2.6
**Catégorie :** Protection > Sécurité du réseau
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::LaunchTemplate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un modèle de lancement Amazon EC2 est configuré avec le service de métadonnées d'instance version 2 ()IMDSv2. Le contrôle échoue s'il `HttpTokens` est défini sur`optional`.
L'exécution des ressources sur les versions logicielles prises en charge garantit des performances, une sécurité et un accès aux fonctionnalités les plus récentes. Des mises à jour régulières protègent contre les vulnérabilités, ce qui contribue à garantir une expérience utilisateur stable et efficace.
### Correction
Pour exiger IMDSv2 sur un modèle de lancement EC2, consultez [Configurer les options du service de métadonnées d'instance dans le](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) guide de l'utilisateur *Amazon* EC2.
## [EC2.171] La journalisation des connexions VPN EC2 doit être activée
**Exigences connexes :** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPNConnection`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si Amazon CloudWatch Logs est activé pour les deux tunnels sur une connexion AWS Site-to-Site VPN. Le contrôle échoue si les CloudWatch journaux ne sont pas activés pour une connexion Site-to-Site VPN pour les deux tunnels.
AWS Site-to-Site Les journaux VPN vous offrent une meilleure visibilité de vos déploiements Site-to-Site VPN. Grâce à cette fonctionnalité, vous avez accès aux journaux de connexion Site-to-Site VPN qui fournissent des détails sur l'établissement du tunnel de sécurité IP (IPsec), les négociations sur l'échange de clés Internet (IKE) et les messages du protocole de détection des pairs morts (DDP). Site-to-Site Les journaux VPN peuvent être publiés dans CloudWatch Logs. Cette fonctionnalité fournit aux clients un moyen unique et cohérent d'accéder aux journaux détaillés de toutes leurs connexions Site-to-Site VPN et de les analyser.
### Correction
Pour activer la journalisation par tunnel sur une connexion VPN EC2, consultez les [journaux AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) dans le *guide de l'utilisateur du AWS Site-to-Site VPN*.
## [EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::VPCBlockPublicAccessOptions`
**AWS Config règle :** `ec2-vpc-bpa-internet-gateway-blocked` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `vpcBpaInternetGatewayBlockMode` | Valeur de chaîne du mode d'options VPC BPA. | Enum | `block-bidirectional`, `block-ingress` | Aucune valeur par défaut |
Ce contrôle vérifie si les paramètres BPA (VPC Block Public Access) d'Amazon EC2 sont configurés pour bloquer le trafic de passerelle Internet pour tous les Amazon du. VPCs Compte AWS Le contrôle échoue si les paramètres BPA du VPC ne sont pas configurés pour bloquer le trafic de passerelle Internet. Pour que le contrôle passe, le BPA du VPC `InternetGatewayBlockMode` doit être réglé sur ou. `block-bidirectional` `block-ingress` Si le paramètre `vpcBpaInternetGatewayBlockMode` est fourni, le contrôle est transmis uniquement si la valeur BPA du VPC pour `InternetGatewayBlockMode` correspond au paramètre.
La configuration des paramètres VPC BPA de votre compte dans an vous Région AWS permet d'empêcher les ressources VPCs et les sous-réseaux que vous possédez dans cette région d'atteindre ou d'être accessibles depuis Internet via des passerelles Internet et des passerelles Internet de sortie uniquement. Si vous avez besoin de sous-réseaux VPCs et de sous-réseaux spécifiques pour pouvoir accéder ou être accessibles depuis Internet, vous pouvez les exclure en configurant les exclusions BPA des VPC. Pour obtenir des instructions sur la création et la suppression d'exclusions, consultez la section [Créer et supprimer des exclusions](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) dans le guide de l'*utilisateur Amazon VPC*.
### Correction
Pour activer le BPA bidirectionnel au niveau du compte, consultez [Activer le mode bidirectionnel BPA pour votre compte dans le guide de l'utilisateur](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) Amazon *VPC*. Pour activer le BPA en entrée uniquement, voir Changer le mode BPA du [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only) en mode BPA en entrée uniquement. Pour activer le BPA VPC au niveau de l'organisation, voir Activer le [BPA VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs) au niveau de l'organisation.
## [EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::SpotFleet`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une demande Amazon EC2 Spot Fleet spécifiant les paramètres de lancement est configurée pour activer le chiffrement de tous les volumes Amazon Elastic Block Store (Amazon EBS) attachés aux instances EC2. Le contrôle échoue si la demande Spot Fleet spécifie les paramètres de lancement et n'active pas le chiffrement pour un ou plusieurs volumes EBS spécifiés dans la demande.
Pour un niveau de sécurité supplémentaire, vous devez activer le chiffrement pour les volumes Amazon EBS. Les opérations de chiffrement ont ensuite lieu sur les serveurs qui hébergent les instances Amazon EC2, ce qui permet de garantir la sécurité des données au repos et des données en transit entre une instance et son stockage EBS attaché. Le chiffrement Amazon EBS est une solution de chiffrement simple pour les ressources EBS associées à vos instances EC2. Avec le chiffrement EBS, vous n'êtes pas obligé de créer, de maintenir et de sécuriser votre propre infrastructure de gestion des clés. Le chiffrement EBS est utilisé AWS KMS keys lors de la création de volumes chiffrés.
**Remarques**
Ce contrôle ne génère pas de résultats pour les demandes Amazon EC2 Spot Fleet qui utilisent des modèles de lancement. Il ne génère pas non plus de résultats pour les demandes Spot Fleet qui ne spécifient pas explicitement une valeur pour le `encrypted` paramètre.
### Correction
Il n'existe aucun moyen direct de chiffrer un volume Amazon EBS non chiffré existant. Vous ne pouvez chiffrer un nouveau volume que lorsque vous le créez.
Toutefois, si vous activez le chiffrement par défaut, Amazon EBS chiffre les nouveaux volumes en utilisant votre clé par défaut pour le chiffrement EBS. Si vous n'activez pas le chiffrement par défaut, vous pouvez l'activer lorsque vous créez un volume individuel. Dans les deux cas, vous pouvez remplacer la clé par défaut pour le chiffrement EBS et choisir une clé gérée par le client. AWS KMS key Pour plus d'informations sur le chiffrement EBS, consultez la section relative au chiffrement [Amazon EBS dans le](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) guide de l'*utilisateur Amazon EBS*.
Pour plus d'informations sur la création d'une demande Amazon EC2 Spot Fleet, consultez [Create a Spot Fleet](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) dans le guide de l'*utilisateur d'Amazon Elastic Compute Cloud*.
## [EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::DHCPOptions`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un ensemble d'options DHCP Amazon EC2 possède les clés de balise spécifiées par le paramètre. `requiredKeyTags` Le contrôle échoue si le jeu d'options ne comporte aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le jeu d'options ne comporte aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
*Pour plus d'informations sur l'ajout de balises à un ensemble d'options DHCP Amazon EC2, consultez la section Marquer vos [ressources Amazon EC2 dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*
## [EC2.175] Les modèles de lancement EC2 doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::LaunchTemplate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un modèle de lancement Amazon EC2 possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le modèle de lancement ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le modèle de lancement ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un modèle de lancement Amazon EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.176] Les listes de préfixes EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::PrefixList`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une liste de préfixes Amazon EC2 possède les clés de balise spécifiées par le paramètre. `requiredKeyTags` Le contrôle échoue si la liste de préfixes ne contient aucune clé de balise ou si elle ne contient pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la liste de préfixes ne contient aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
*Pour plus d'informations sur l'ajout de balises à une liste de préfixes Amazon EC2, consultez la section Marquer vos [ressources Amazon EC2 dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).*
## [EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TrafficMirrorSession`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une session de miroir du trafic Amazon EC2 possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la session ne possède aucune clé de balise ou si toutes les clés spécifiées par le `requiredKeyTags` paramètre ne sont pas présentes. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la session ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une session de miroir de trafic Amazon EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TrafficMirrorFilter`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un filtre miroir de trafic Amazon EC2 possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le filtre ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le filtre n'en possède aucune. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un filtre de miroir de trafic Amazon EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EC2::TrafficMirrorTarget`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une cible miroir de trafic Amazon EC2 possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la cible ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la cible n'en possède aucune. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à une cible miroir de trafic Amazon EC2, consultez la section Marquer [vos ressources Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) dans le guide de l'utilisateur Amazon *EC2*.
## [EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::NetworkInterface`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la source/destination vérification est activée pour une interface Amazon EC2 Elastic Network (ENI) gérée par les utilisateurs. Le contrôle échoue si la source/destination vérification est désactivée pour l'ENI géré par l'utilisateur. Ce contrôle vérifie uniquement les types suivants de ENIs : `aws_codestar_connections_managed``branch`,`efa`,`interface`,`lambda`, et`quicksight`.
Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationvalidation d'adresse, qui garantit qu'une instance est la source ou la destination de tout trafic qu'elle reçoit. Cela fournit une couche supplémentaire de sécurité réseau en empêchant les ressources de gérer le trafic involontaire et en empêchant l'usurpation d'adresse IP.
**Note**
Si vous utilisez une instance EC2 comme instance NAT et que vous avez désactivé la source/destination vérification de son ENI, vous pouvez utiliser une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) à la place.
### Correction
Pour plus d'informations sur l'activation source/destination des vérifications pour un ENI Amazon EC2, consultez [Modifier les attributs de l'interface réseau](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) dans le guide de l'utilisateur *Amazon EC2*.
## [EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EC2::LaunchTemplate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un modèle de lancement Amazon EC2 active le chiffrement pour tous les volumes EBS attachés. Le contrôle échoue si le paramètre de chiffrement est défini sur tous `False` les volumes EBS spécifiés par le modèle de lancement EC2.
Le chiffrement Amazon EBS est une solution de chiffrement simple pour les ressources EBS associées aux instances Amazon EC2. Avec le chiffrement EBS, vous n'êtes pas obligé de créer, de maintenir et de sécuriser votre propre infrastructure de gestion des clés. Le chiffrement EBS est utilisé AWS KMS keys lors de la création de volumes chiffrés et de snapshots. Les opérations de chiffrement ont lieu sur les serveurs qui hébergent les instances EC2, ce qui permet de garantir la sécurité des données au repos et des données en transit entre une instance EC2 et le stockage EBS qui lui est rattaché. Pour plus d’informations, consultez la section [Chiffrement Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) dans le *Guide de l’utilisateur Amazon EC2*.
Vous pouvez activer le chiffrement EBS lors du lancement manuel d'instances EC2 individuelles. Cependant, l'utilisation des modèles de lancement EC2 et la configuration des paramètres de chiffrement dans ces modèles présentent plusieurs avantages. Vous pouvez appliquer le chiffrement en tant que norme et garantir l'utilisation de paramètres de chiffrement cohérents. Vous pouvez également réduire le risque d'erreur et de failles de sécurité susceptibles de survenir lors du lancement manuel d'instances.
**Note**
Lorsque ce contrôle vérifie un modèle de lancement EC2, il évalue uniquement les paramètres de chiffrement EBS explicitement spécifiés par le modèle. L'évaluation n'inclut pas les paramètres de chiffrement hérités des paramètres de chiffrement EBS au niveau du compte, les mappages de périphériques par blocs AMI ou les états de chiffrement des instantanés source.
### Correction
Une fois que vous avez créé un modèle de lancement Amazon EC2, vous ne pouvez pas le modifier. Vous pouvez toutefois créer une nouvelle version d'un modèle de lancement et modifier les paramètres de chiffrement dans cette nouvelle version du modèle. Vous pouvez également spécifier la nouvelle version comme version par défaut du modèle de lancement. Ensuite, si vous lancez une instance EC2 à partir d'un modèle de lancement et que vous ne spécifiez pas de version de modèle, EC2 utilise les paramètres de la version par défaut lorsqu'il lance l'instance. Pour plus d'informations, consultez [Modifier un modèle de lancement](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) dans le guide de l'*utilisateur Amazon EC2*.
## [EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::EC2::SnapshotBlockPublicAccess`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Le contrôle vérifie si le blocage de l'accès public est activé pour bloquer tout partage d'instantanés Amazon EBS. Le contrôle échoue si le blocage de l'accès public n'est pas activé pour bloquer tout partage pour tous les instantanés Amazon EBS.
Pour empêcher le partage public de vos instantanés Amazon EBS, vous pouvez activer le blocage de l'accès public aux instantanés. Une fois que le blocage de l'accès public aux instantanés est activé dans une région, toute tentative de partage public d'instantanés dans cette région est automatiquement bloquée. Cela permet d'améliorer la sécurité des instantanés et de protéger les données des instantanés contre tout accès non autorisé ou involontaire.
### Correction
Pour activer le blocage de l'accès public pour les instantanés, consultez la section [Configurer l'accès public bloqué pour les instantanés Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) dans le guide de l'utilisateur *Amazon EBS*. Pour **Bloquer l'accès public**, choisissez **Bloquer tout accès public**.
# Contrôles Security Hub CSPM pour Auto Scaling
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon EC2 Auto Scaling.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB
**Exigences connexes :** PCI DSS v3.2.1/2.2, NIST.800-53.R5 CP-2 (2) NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Identifier - Inventaire
**Gravité : ** Faible
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling associé à un équilibreur de charge utilise les tests de santé d'Elastic Load Balancing (ELB). Le contrôle échoue si le groupe Auto Scaling n'utilise pas les bilans de santé ELB.
Les bilans de santé ELB permettent de garantir qu'un groupe Auto Scaling peut déterminer l'état de santé d'une instance sur la base de tests supplémentaires fournis par l'équilibreur de charge. L'utilisation des contrôles de santé d'Elastic Load Balancing permet également de garantir la disponibilité des applications qui utilisent des groupes EC2 Auto Scaling.
### Correction
Pour ajouter des tests de santé Elastic Load Balancing, consultez la section [Ajouter des contrôles de santé Elastic Load Balancing](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) dans le *guide de l'utilisateur Amazon EC2 Auto Scaling*.
## [AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling couvre au moins le nombre spécifié de zones de disponibilité (AZs). Le contrôle échoue si un groupe Auto Scaling ne couvre pas au moins le nombre spécifié de AZs. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Un groupe Auto Scaling qui ne couvre pas plusieurs zones ne AZs peut pas lancer d'instances dans une autre zone de zone pour compenser l'indisponibilité de la seule zone de zone configurée. Cependant, un groupe Auto Scaling avec une seule zone de disponibilité peut être préférable dans certains cas d'utilisation, tels que les tâches par lots ou lorsque les coûts de transfert inter-AZ doivent être réduits au minimum. Dans ce cas, vous pouvez désactiver ce contrôle ou supprimer ses résultats.
### Correction
Pour ajouter AZs à un groupe Auto Scaling existant, consultez la section [Ajouter et supprimer des zones de disponibilité](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) dans le *guide de l'utilisateur d'Amazon EC2 Auto Scaling*.
## [AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)
**Exigences connexes :** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.6
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::AutoScaling::LaunchConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie s'il IMDSv2 est activé sur toutes les instances lancées par les groupes Amazon EC2 Auto Scaling. Le contrôle échoue si la version du service de métadonnées d'instance (IMDS) n'est pas incluse dans la configuration de lancement ou est configurée en tant que `token optional` paramètre qui autorise l'un IMDSv1 ou IMDSv2 l'autre.
IMDS fournit des données sur votre instance que vous pouvez utiliser pour configurer ou gérer l'instance en cours d'exécution.
La version 2 de l'IMDS ajoute de nouvelles protections qui n'étaient pas disponibles dans IMDSv1 afin de mieux protéger vos EC2 instances.
### Correction
Un groupe Auto Scaling est associé à une configuration de lancement à la fois. Vous ne pouvez pas modifier une configuration de lancement après l'avoir créée. Pour modifier la configuration de lancement d'un groupe Auto Scaling, utilisez une configuration de lancement existante comme base pour une nouvelle configuration de lancement avec IMDSv2 activé. Pour plus d'informations, consultez [Configurer les options de métadonnées d'instance pour les nouvelles instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) dans le *guide de EC2 l'utilisateur Amazon*.
## [AutoScaling.4] La configuration de lancement du groupe Auto Scaling ne doit pas comporter de limite de sauts de réponse aux métadonnées supérieure à 1
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::AutoScaling::LaunchConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie le nombre de sauts réseau qu'un jeton de métadonnées peut effectuer. Le contrôle échoue si la limite de sauts de réponse des métadonnées est supérieure à`1`.
Le service de métadonnées d'instance (IMDS) fournit des informations de métadonnées sur une EC2 instance Amazon et est utile pour la configuration des applications. Le fait de restreindre la `PUT` réponse HTTP du service de métadonnées à l' EC2 instance uniquement protège l'IMDS contre toute utilisation non autorisée.
Le champ Time To Live (TTL) du paquet IP est réduit d'une unité à chaque saut. Cette réduction peut être utilisée pour garantir que le paquet ne voyage pas à l'extérieur EC2. IMDSv2 protège les EC2 instances qui peuvent avoir été mal configurées en tant que routeurs ouverts, pare-feux de couche 3 VPNs, tunnels ou périphériques NAT, ce qui empêche les utilisateurs non autorisés de récupérer des métadonnées. Avec IMDSv2, la `PUT` réponse contenant le jeton secret ne peut pas voyager en dehors de l'instance car la limite de sauts de réponse aux métadonnées par défaut est définie sur`1`. Toutefois, si cette valeur est supérieure à`1`, le jeton peut quitter l' EC2 instance.
### Correction
Pour modifier la limite de sauts de réponse aux métadonnées pour une configuration de lancement existante, consultez la section [Modifier les options de métadonnées d'instance pour les instances existantes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) dans le *guide de EC2 l'utilisateur Amazon*.
## [Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::AutoScaling::LaunchConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la configuration de lancement associée à un groupe Auto Scaling attribue une [adresse IP publique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) aux instances du groupe. Le contrôle échoue si la configuration de lancement associée attribue une adresse IP publique.
EC2 Les instances Amazon dans une configuration de lancement de groupe Auto Scaling ne doivent pas être associées à une adresse IP publique, sauf dans des cas limités. Les EC2 instances Amazon ne devraient être accessibles que derrière un équilibreur de charge au lieu d'être directement exposées à Internet.
### Correction
Un groupe Auto Scaling est associé à une configuration de lancement à la fois. Vous ne pouvez pas modifier une configuration de lancement après l'avoir créée. Pour modifier la configuration du lancement d'un groupe Auto Scaling, utilisez une configuration du lancement existante comme base de la nouvelle configuration du lancement. Mettez ensuite à jour le groupe Auto Scaling de manière à utiliser la nouvelle configuration du lancement. Pour step-by-step obtenir des instructions, consultez [Modifier la configuration de lancement d'un groupe Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) dans le *guide de l'utilisateur d'Amazon EC2 Auto Scaling*. Lors de la création de la nouvelle configuration de lancement, sous **Configuration supplémentaire**, pour **Détails avancés, type d'adresse IP**, choisissez **Ne pas attribuer d'adresse IP publique à aucune instance**.
Après avoir modifié la configuration de lancement, Auto Scaling lance de nouvelles instances avec les nouvelles options de configuration. Les instances existantes ne sont pas affectées. Pour mettre à jour une instance existante, nous vous recommandons d'actualiser votre instance ou d'autoriser le dimensionnement automatique afin de remplacer progressivement les anciennes instances par des instances plus récentes en fonction de vos politiques de résiliation. Pour plus d'informations sur la mise à jour des instances Auto Scaling, consultez [Update Auto Scaling instances](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) dans le manuel *Amazon EC2 Auto Scaling User Guide*.
## [AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling utilise plusieurs types d'instances. Le contrôle échoue si le groupe Auto Scaling n'a qu'un seul type d'instance défini.
Vous pouvez améliorer la disponibilité en déployant votre application entre plusieurs types d'instances s'exécutant dans plusieurs zones de disponibilité. Security Hub CSPM recommande d'utiliser plusieurs types d'instances afin que le groupe Auto Scaling puisse lancer un autre type d'instance si la capacité d'instance est insuffisante dans les zones de disponibilité que vous avez choisies.
### Correction
Pour créer un groupe Auto Scaling avec plusieurs types d'instances, consultez la section [Groupes Auto Scaling avec plusieurs types d'instances et options d'achat](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) dans le *guide de l'utilisateur d'Amazon EC2 Auto Scaling*.
## [AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling est créé à partir d'un modèle de EC2 lancement. Ce contrôle échoue si aucun groupe Amazon EC2 Auto Scaling n'est créé avec un modèle de lancement ou si aucun modèle de lancement n'est spécifié dans une politique d'instances mixtes.
Un groupe EC2 Auto Scaling peut être créé à partir d'un modèle de EC2 lancement ou d'une configuration de lancement. Cependant, l'utilisation d'un modèle de lancement pour créer un groupe Auto Scaling garantit que vous avez accès aux dernières fonctionnalités et améliorations.
### Correction
Pour créer un groupe Auto Scaling avec un modèle de EC2 lancement, consultez [Create an Auto Scaling group using a launch template](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) dans le manuel *Amazon EC2 Auto Scaling User Guide*. Pour plus d'informations sur le remplacement d'une configuration de lancement par un modèle de lancement, consultez la section [Remplacer une configuration de lancement par un modèle de lancement](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) dans le *guide de EC2 l'utilisateur Amazon*.
## [AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config règle :** `tagged-autoscaling-autoscalinggroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le groupe Auto Scaling ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe Auto Scaling n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un groupe Auto Scaling, consultez la section [Groupes et instances Tag Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) dans le *guide de l'utilisateur d'Amazon EC2 Auto Scaling*.
# Contrôles Security Hub CSPM pour Amazon ECR
Ces contrôles CSPM du Security Hub évaluent le service et les ressources Amazon Elastic Container Registry (Amazon ECR).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
**Exigences connexes :** PCI DSS v4.0.1/6.2.3 NIST.800-53.r5 RA-5, PCI DSS v4.0.1/6.2.4
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::ECR::Repository`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la numérisation d'images est configurée dans un référentiel Amazon ECR privé. Le contrôle échoue si le référentiel ECR privé n'est pas configuré pour le scan sur push ou le scan continu.
La numérisation d'images ECR permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. La configuration de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées.
### Correction
Pour configurer la numérisation d'images pour un référentiel ECR, consultez la section [Numérisation d'images](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) dans le *guide de l'utilisateur d'Amazon Elastic Container Registry*.
## [ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-8 (1)
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECR::Repository`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'immuabilité des balises est activée dans un référentiel ECR privé. Ce contrôle échoue si l'immuabilité des balises est désactivée dans un référentiel ECR privé. Cette règle est acceptée si l'immuabilité des balises est activée et possède la valeur. `IMMUTABLE`
Amazon ECR Tag Immutability permet aux clients de s'appuyer sur les balises descriptives d'une image en tant que mécanisme fiable pour suivre et identifier les images de manière unique. Une balise immuable est statique, ce qui signifie que chaque balise fait référence à une image unique. Cela améliore la fiabilité et l'évolutivité, car l'utilisation d'une balise statique entraîne toujours le déploiement de la même image. Lorsqu'elle est configurée, l'immuabilité des balises empêche le remplacement des balises, ce qui réduit la surface d'attaque.
### Correction
Pour créer un référentiel avec des balises immuables configurées ou pour mettre à jour les paramètres de mutabilité des balises d'image pour un référentiel existant, consultez la section [Mutabilité des balises d'image dans le guide de l'utilisateur](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) d'*Amazon Elastic Container Registry*.
## [ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECR::Repository`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si au moins une politique de cycle de vie est configurée dans un référentiel Amazon ECR. Ce contrôle échoue si aucune politique de cycle de vie n'est configurée dans un référentiel ECR.
Les politiques de cycle de vie Amazon ECR vous permettent de préciser la gestion du cycle de vie des images dans un référentiel. En configurant des politiques de cycle de vie, vous pouvez automatiser le nettoyage des images inutilisées et l'expiration des images en fonction de leur âge ou de leur nombre. L'automatisation de ces tâches peut vous aider à éviter d'utiliser involontairement des images obsolètes dans votre référentiel.
### Correction
Pour configurer une politique de cycle de vie, consultez la section [Création d'une version préliminaire de la politique de cycle](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) de vie dans le *guide de l'utilisateur d'Amazon Elastic Container Registry*.
## [ECR.4] Les référentiels publics ECR doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECR::PublicRepository`
**AWS Config règle :** `tagged-ecr-publicrepository` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un référentiel public Amazon ECR possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le référentiel public ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le référentiel public n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un référentiel public ECR, consultez la section [Marquage d'un référentiel public Amazon ECR dans le guide de l'utilisateur](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) d'*Amazon Elastic Container Registry*.
## [ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys
**Exigences connexes :** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.R5 AU-9
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECR::Repository`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Une liste des noms de ressources Amazon (ARNs) AWS KMS keys à inclure dans l'évaluation. Le contrôle permet de déterminer `FAILED` si un référentiel ECR n'est pas chiffré avec une clé KMS dans la liste. | StringList (maximum de 10 articles) | 1 à 10 ARNs des clés KMS existantes. Par exemple : `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` | Aucune valeur par défaut |
Ce contrôle vérifie si un référentiel Amazon ECR est chiffré au repos et qu'il est géré AWS KMS key par un client. Le contrôle échoue si le référentiel ECR n'est pas chiffré avec une clé KMS gérée par le client. Vous pouvez éventuellement spécifier une liste de clés KMS que le contrôle doit inclure dans l'évaluation.
Par défaut, Amazon ECR chiffre les données du référentiel à l'aide des clés gérées par Amazon S3 (SSE-S3), à l'aide d'un algorithme AES-256. Pour un contrôle supplémentaire, vous pouvez configurer Amazon ECR pour crypter les données à l'aide d'un AWS KMS key (SSE-KMS ou DSSE-KMS) à la place. La clé KMS peut être : une clé créée et gérée par Amazon ECR pour vous et Clé gérée par AWS qui possède un alias`aws/ecr`, ou une clé gérée par le client que vous créez et gérez dans votre Compte AWS. Avec une clé KMS gérée par le client, vous avez le contrôle total de la clé. Cela inclut la définition et le maintien de la politique des clés, la gestion des subventions, la rotation du matériel cryptographique, l'attribution de balises, la création d'alias, ainsi que l'activation et la désactivation de la clé.
**Note**
AWS KMS prend en charge l'accès aux clés KMS entre comptes. Si un référentiel ECR est chiffré à l'aide d'une clé KMS appartenant à un autre compte, ce contrôle n'effectue pas de vérifications entre comptes lors de l'évaluation du référentiel. Le contrôle n'évalue pas si Amazon ECR peut accéder à la clé et l'utiliser lors d'opérations cryptographiques pour le référentiel.
### Correction
Vous ne pouvez pas modifier les paramètres de chiffrement d'un référentiel ECR existant. Toutefois, vous pouvez définir différents paramètres de chiffrement pour les référentiels ECR que vous créerez ultérieurement. Amazon ECR prend en charge l'utilisation de différents paramètres de chiffrement pour les référentiels individuels.
Pour plus d'informations sur les options de chiffrement pour les référentiels ECR, consultez [Encryption at rest dans le guide](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) de l'utilisateur *Amazon ECR.* Pour plus d'informations sur la gestion par le client AWS KMS keys, consultez [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)le *guide du AWS Key Management Service développeur*.
# Contrôles Security Hub CSPM pour Amazon ECS
Ces contrôles Security Hub CSPM évaluent le service et les ressources Amazon Elastic Container Service (Amazon ECS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés
**Important**
Security Hub CSPM a retiré ce contrôle en mars 2026. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md). Vous pouvez vous référer aux contrôles suivants pour évaluer la configuration privilégiée, la configuration du mode réseau et la configuration utilisateur :
[[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](#ecs-4)
[[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](#ecs-17)
[[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](#ecs-20)
[[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](#ecs-21)
**Exigences associées :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `SkipInactiveTaskDefinitions`: `true` (non personnalisable)
Ce contrôle vérifie si une définition de tâche Amazon ECS active en mode réseau hôte possède `privileged` ou non des définitions de `user` conteneur. Le contrôle échoue pour les définitions de tâches dont le mode réseau hôte et les définitions de `privileged=false` conteneur sont vides ou vides. `user=root`
Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
L'objectif de ce contrôle est de garantir que l'accès est défini intentionnellement lorsque vous exécutez des tâches utilisant le mode réseau hôte. Si une définition de tâche possède des privilèges élevés, c'est parce que vous avez choisi cette configuration. Ce contrôle vérifie l'absence d'augmentation inattendue des privilèges lorsqu'une définition de tâche active le réseau hôte et que vous ne choisissez pas de privilèges élevés.
### Correction
Pour plus d'informations sur la mise à jour d'une définition de tâche, consultez la section [Mise à jour d'une définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
Lorsque vous mettez à jour une définition de tâche, elle ne met pas à jour les tâches en cours qui ont été lancées à partir de la définition de tâche précédente. Pour mettre à jour une tâche en cours d'exécution, vous devez la redéployer avec la nouvelle définition de tâche.
## [ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::Service`
**AWS Config règle :** `ecs-service-assign-public-ip-disabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les services Amazon ECS sont configurés pour attribuer automatiquement des adresses IP publiques. Ce contrôle échoue si tel `AssignPublicIP` est le cas`ENABLED`. Ce contrôle passe si tel `AssignPublicIP` est le cas`DISABLED`.
Une adresse IP publique est une adresse IP accessible depuis Internet. Si vous lancez vos instances Amazon ECS avec une adresse IP publique, elles sont accessibles depuis Internet. Les services Amazon ECS ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos serveurs d'applications de conteneurs.
### Correction
Vous devez d'abord créer une définition de tâche pour votre cluster qui utilise le mode `awsvpc` réseau et spécifie **FARGATE pour.** `requiresCompatibilities` Ensuite, pour la **configuration de calcul**, choisissez **le type de lancement** et **FARGATE**. Enfin, dans le champ **Réseau**, désactivez l'**adresse IP publique** pour désactiver l'attribution automatique d'adresses IP publiques à votre service.
## [ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les définitions de tâches Amazon ECS sont configurées pour partager l'espace de noms de processus d'un hôte avec ses conteneurs. Le contrôle échoue si la définition de tâche partage l'espace de noms de processus de l'hôte avec les conteneurs qui y sont exécutés. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
Un espace de noms d'ID de processus (PID) permet de séparer les processus. Il empêche les processus du système d'être visibles et permet PIDs leur réutilisation, y compris le PID 1. Si l'espace de noms PID de l'hôte est partagé avec des conteneurs, cela permettra aux conteneurs de voir tous les processus du système hôte. Cela réduit l'avantage de l'isolation au niveau du processus entre l'hôte et les conteneurs. Ces circonstances peuvent entraîner un accès non autorisé aux processus sur l'hôte lui-même, y compris la capacité de les manipuler et d'y mettre fin. Les clients ne doivent pas partager l'espace de noms de processus de l'hôte avec les conteneurs qui s'exécutent sur celui-ci.
### Correction
Pour configurer la `pidMode` définition d'une tâche, consultez la section [Paramètres de définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) dans le manuel Amazon Elastic Container Service Developer Guide.
## [ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le `privileged` paramètre de la définition du conteneur des définitions de tâches Amazon ECS est défini sur`true`. Le contrôle échoue si ce paramètre est égal à`true`. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
Nous vous recommandons de supprimer les privilèges élevés de vos définitions de tâches ECS. Lorsque le paramètre de privilège est défini`true`, le conteneur reçoit des privilèges élevés sur l'instance du conteneur hôte (comme l'utilisateur root).
### Correction
Pour configurer le `privileged` paramètre sur une définition de tâche, consultez la section [Paramètres avancés de définition de conteneur](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) dans le manuel Amazon Elastic Container Service Developer Guide.
## [ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les définitions de tâches ECS configurent les conteneurs de manière à ce qu'ils soient limités à un accès en lecture seule aux systèmes de fichiers racines montés. Le contrôle échoue si le `readonlyRootFilesystem` paramètre dans les définitions de conteneur de la définition de tâche ECS est défini sur`false`, ou si le paramètre n'existe pas dans la définition de conteneur au sein de la définition de tâche. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
Si le `readonlyRootFilesystem` paramètre est défini sur `true` dans une définition de tâche Amazon ECS, le conteneur ECS bénéficie d'un accès en lecture seule à son système de fichiers racine. Cela réduit les vecteurs d'attaques de sécurité, car le système de fichiers racine de l'instance de conteneur ne peut pas être altéré ou écrit sans des montages de volumes explicites dotés d'autorisations de lecture-écriture pour les dossiers et répertoires du système de fichiers. L'activation de cette option est également conforme au principe du moindre privilège.
**Note**
Le `readonlyRootFilesystem` paramètre n'est pas pris en charge pour les conteneurs Windows. Les définitions de tâches `runtimePlatform` configurées pour spécifier une famille de `WINDOWS_SERVER` systèmes d'exploitation sont marquées comme `NOT_APPLICABLE` telles et ne généreront pas de résultats pour ce contrôle.
### Correction
Pour accorder à un conteneur Amazon ECS un accès en lecture seule à son système de fichiers racine, ajoutez le `readonlyRootFilesystem` paramètre à la définition de tâche du conteneur et définissez la valeur du paramètre sur. `true` Pour plus d'informations sur les paramètres de définition des tâches et sur la manière de les ajouter à une définition de tâche, consultez les [définitions de tâches Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) et la [mise à jour d'une définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/8.6.2
**Catégorie :** Protéger > Développement sécurisé > Informations d'identification non codées en dur
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)
**Type de calendrier :** changement déclenché
**Paramètres :** `secretKeys` : `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (non personnalisable)
Ce contrôle vérifie si la valeur clé de l'une des variables du `environment` paramètre des définitions de conteneur inclut `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, ou`ECS_ENGINE_AUTH_DATA`. Ce contrôle échoue si une seule variable d'environnement dans une définition de conteneur est égale à `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, ou`ECS_ENGINE_AUTH_DATA`. Ce contrôle ne couvre pas les variables environnementales transmises depuis d'autres sites tels qu'Amazon S3. Ce contrôle évalue uniquement la dernière révision active d'une définition de tâche Amazon ECS.
AWS Systems Manager Parameter Store peut vous aider à améliorer le niveau de sécurité de votre organisation. Nous vous recommandons d'utiliser le Parameter Store pour stocker les secrets et les informations d'identification au lieu de les transmettre directement à vos instances de conteneur ou de les coder en dur dans votre code.
### Correction
Pour créer des paramètres à l'aide de SSM, reportez-vous à la section [Création de paramètres de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) dans le *guide de AWS Systems Manager l'utilisateur*. Pour plus d'informations sur la création d'une définition de tâche [spécifiant un secret, consultez la section Spécification de données sensibles à l'aide de Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskDefinition`
**AWS Config règle : ecs-task-definition-log** [-configuration](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une configuration de journalisation est spécifiée pour la dernière définition de tâche Amazon ECS active. Le contrôle échoue si la `logConfiguration` propriété de la définition de tâche n'est pas définie ou si la valeur de `logDriver` est nulle dans au moins une définition de conteneur.
La journalisation vous aide à maintenir la fiabilité, la disponibilité et les performances d'Amazon ECS. La collecte de données à partir des définitions de tâches apporte de la visibilité, ce qui peut vous aider à déboguer les processus et à identifier la cause première des erreurs. Si vous utilisez une solution de journalisation qui n'a pas besoin d'être définie dans la définition des tâches ECS (telle qu'une solution de journalisation tierce), vous pouvez désactiver ce contrôle après vous être assuré que vos journaux sont correctement capturés et transmis.
### Correction
Pour définir une configuration de journal pour vos définitions de tâches Amazon ECS, consultez [Spécifier une configuration de journal dans votre définition de tâche dans](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::Service`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `latestLinuxVersion: 1.4.0`(non personnalisable)
+ `latestWindowsVersion: 1.0.0`(non personnalisable)
Ce contrôle vérifie si les services Amazon ECS Fargate exécutent la dernière version de la plateforme Fargate. Ce contrôle échoue si la version de la plateforme n'est pas la plus récente.
AWS Fargate les versions de plate-forme font référence à un environnement d'exécution spécifique pour l'infrastructure de tâches Fargate, qui est une combinaison de versions d'exécution du noyau et du conteneur. De nouvelles versions de plate-forme sont publiées au fur et à mesure de l'évolution de l'environnement d'exécution. Par exemple, une nouvelle version peut être publiée pour les mises à jour du noyau ou du système d'exploitation, les nouvelles fonctionnalités, les corrections de bogues ou les mises à jour de sécurité. Des mises à jour de sécurité et des correctifs sont déployés automatiquement pour vos tâches Fargate. Si un problème de sécurité affectant une version de plate-forme est détecté, appliquez un AWS correctif à cette version.
### Correction
Pour mettre à jour un service existant, y compris sa version de plateforme, consultez la section [Mise à jour d'un service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.12] Les clusters ECS doivent utiliser Container Insights
**Exigences connexes :** NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les clusters ECS utilisent Container Insights. Ce contrôle échoue si Container Insights n'est pas configuré pour un cluster.
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances des clusters Amazon ECS. Utilisez CloudWatch Container Insights pour collecter, agréger et résumer les métriques et les journaux de vos applications conteneurisées et de vos microservices. CloudWatch collecte automatiquement des métriques pour de nombreuses ressources, telles que le processeur, la mémoire, le disque et le réseau. Conteneur Insights fournit également des informations de diagnostic (par exemple sur les échecs de redémarrage des conteneurs) pour vous aider à isoler les problèmes et à les résoudre rapidement. Vous pouvez également définir des CloudWatch alarmes sur les métriques collectées par Container Insights.
### Correction
Pour utiliser Container Insights, consultez la section [Mettre à jour un service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## [ECS.13] Les services ECS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECS::Service`
**AWS Config règle :** `tagged-ecs-service` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un service Amazon ECS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le service ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le service n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un service ECS, consultez la section [Marquage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.14] Les clusters ECS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECS::Cluster`
**AWS Config règle :** `tagged-ecs-cluster` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un cluster Amazon ECS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un cluster ECS, consultez la section [Marquage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.15] Les définitions de tâches ECS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ECS::TaskDefinition`
**AWS Config règle :** `tagged-ecs-taskdefinition` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une définition de tâche Amazon ECS comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la définition de tâche ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la définition de tâche n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une définition de tâche ECS, consultez la section [Marquage de vos ressources Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques
**Exigences connexes :** PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::ECS::TaskSet`
**AWS Config règle :** `ecs-taskset-assign-public-ip-disabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un ensemble de tâches Amazon ECS est configuré pour attribuer automatiquement des adresses IP publiques. Le contrôle échoue s'il `AssignPublicIP` est défini sur`ENABLED`.
Une adresse IP publique est accessible depuis Internet. Si vous configurez votre ensemble de tâches avec une adresse IP publique, les ressources associées à l'ensemble de tâches sont accessibles depuis Internet. Les ensembles de tâches ECS ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos serveurs d'applications de conteneurs.
### Correction
Pour mettre à jour un ensemble de tâches ECS afin qu'il n'utilise pas d'adresse IP publique, consultez la section [Mise à jour d'une définition de tâche Amazon ECS à l'aide de la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS utilise le mode `host` réseau. Le contrôle échoue si la dernière révision active de la définition de tâche ECS utilise le mode `host` réseau.
Lorsque vous utilisez le mode `host` réseau, la mise en réseau d'un conteneur Amazon ECS est directement liée à l'hôte sous-jacent qui exécute le conteneur. Par conséquent, ce mode permet aux conteneurs de se connecter à des services réseau privés en boucle sur l'hôte et de se faire passer pour l'hôte. D'autres inconvénients importants sont qu'il n'est pas possible de remapper un port de conteneur en mode `host` réseau et que vous ne pouvez pas exécuter plus d'une seule instanciation d'une tâche sur chaque hôte.
### Correction
Pour plus d'informations sur les modes de mise en réseau et les options pour les tâches Amazon ECS hébergées sur des instances Amazon EC2, consultez les [options de mise en réseau des tâches Amazon ECS pour le type de lancement EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) dans le manuel du développeur *Amazon Elastic Container Service*. Pour plus d'informations sur la création d'une nouvelle révision d'une définition de tâche et la spécification d'un mode réseau différent, consultez la section [Mise à jour d'une définition de tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans ce guide.
Si la définition de tâche Amazon ECS a été créée par AWS Batch, consultez [Modes de mise en réseau pour les AWS Batch tâches pour](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) en savoir plus sur les modes de mise en réseau et l'utilisation typique des types de AWS Batch tâches et pour choisir une option sécurisée.
## [ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS
**Catégorie :** Protéger > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS utilise le chiffrement en transit pour les volumes EFS. Le contrôle échoue si le chiffrement en transit est désactivé pour les volumes EFS dans la dernière révision active de la définition des tâches ECS.
Les volumes Amazon EFS fournissent un stockage de fichiers partagé simple, évolutif et persistant à utiliser avec vos tâches Amazon ECS. Amazon EFS prend en charge le chiffrement des données en transit grâce au protocole TLS (Transport Layer Security). Lorsque le chiffrement des données en transit est déclaré comme option de montage pour votre système de fichiers EFS, Amazon EFS établit une connexion TLS sécurisée avec votre système de fichiers EFS lors du montage de votre système de fichiers.
### Correction
Pour plus d'informations sur l'activation du chiffrement en transit pour la définition des tâches Amazon ECS avec les volumes EFS, consultez l'[étape 5 : création d'une définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée
**Catégorie :** Protéger > Protection des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::CapacityProvider`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un fournisseur de capacité Amazon ECS a activé la protection de résiliation gérée. Le contrôle échoue si la protection de terminaison gérée n'est pas activée sur un fournisseur de capacité ECS.
Les fournisseurs de capacité Amazon ECS gèrent la mise à l'échelle de l'infrastructure pour les tâches de vos clusters. Lorsque vous utilisez des instances EC2 pour votre capacité, vous utilisez le groupe Auto Scaling pour gérer les instances EC2. La protection contre la résiliation gérée permet à l’autoscaling de cluster de contrôler quelles instances sont résiliées. Lorsque vous utilisez la protection contre la résiliation gérée, Amazon ECS ne résilie que les instances EC2 qui n’ont pas de tâches Amazon ECS en cours d’exécution.
**Note**
Lors de l'utilisation de la protection contre la résiliation gérée, la mise à l'échelle gérée doit également être utilisée pour que la protection fonctionne.
### Correction
Pour activer la protection de résiliation gérée pour un fournisseur de capacité Amazon ECS, consultez la section [Mise à jour de la protection de résiliation gérée pour les fournisseurs de capacité Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) dans le *guide du développeur Amazon Elastic Container Service*.
## [ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS configure les conteneurs Linux pour qu'ils s'exécutent en tant qu'utilisateurs non root. Le contrôle échoue si un utilisateur root par défaut est configuré ou si la configuration utilisateur est absente pour un conteneur.
Lorsque les conteneurs Linux s'exécutent avec les privilèges root, ils présentent plusieurs risques de sécurité importants. Les utilisateurs root ont un accès illimité au conteneur. Cet accès élevé augmente le risque d'attaques visant à échapper aux conteneurs, dans le cadre desquelles un attaquant pourrait potentiellement sortir de l'isolation du conteneur et accéder au système hôte sous-jacent. Si un conteneur exécuté en tant que root est compromis, les attaquants peuvent l'exploiter pour accéder aux ressources du système hôte ou les modifier, affectant ainsi d'autres conteneurs ou l'hôte lui-même. En outre, l'accès root pourrait permettre des attaques par escalade de privilèges, permettant aux attaquants d'obtenir des autorisations supplémentaires au-delà de la portée prévue du conteneur. Le paramètre utilisateur dans les définitions de tâches ECS peut spécifier les utilisateurs dans plusieurs formats, notamment le nom d'utilisateur, l'ID utilisateur, le nom d'utilisateur avec le groupe ou l'UID avec l'ID de groupe. Il est important de tenir compte de ces différents formats lors de la configuration des définitions de tâches afin de garantir qu'aucun accès root n'est accordé par inadvertance. Conformément au principe du moindre privilège, les conteneurs doivent fonctionner avec les autorisations minimales requises en utilisant des utilisateurs non root. Cette approche réduit considérablement la surface d'attaque potentielle et atténue l'impact des failles de sécurité potentielles.
**Note**
Ce contrôle évalue les définitions de conteneur dans une définition de tâche uniquement si elles `operatingSystemFamily` sont configurées comme `LINUX` ou `operatingSystemFamily` non dans la définition de tâche. Le contrôle génère un `FAILED` résultat pour une définition de tâche évaluée si aucune définition de conteneur dans la définition de tâche `user` n'a été configurée ou `user` configurée en tant qu'utilisateur root par défaut. Les utilisateurs root par défaut pour les `LINUX` conteneurs sont `"root"` et`"0"`.
### Correction
Pour plus d'informations sur la création d'une nouvelle révision d'une définition de tâche Amazon ECS et la mise à jour du `user` paramètre dans la définition de conteneur, consultez la section [Mise à jour d'une définition de tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
## [ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Moyenne
**Type de ressource :** `AWS::ECS::TaskDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière révision active d'une définition de tâche Amazon ECS configure les conteneurs Windows pour qu'ils s'exécutent en tant qu'utilisateurs qui ne sont pas des administrateurs par défaut. Le contrôle échoue si un administrateur par défaut est configuré en tant qu'utilisateur ou si la configuration utilisateur est absente pour un conteneur.
Lorsque les conteneurs Windows s'exécutent avec des privilèges d'administrateur, ils présentent plusieurs risques de sécurité importants. Les administrateurs ont un accès illimité au conteneur. Cet accès élevé augmente le risque d'attaques visant à échapper aux conteneurs, dans le cadre desquelles un attaquant pourrait potentiellement sortir de l'isolation du conteneur et accéder au système hôte sous-jacent.
**Note**
Ce contrôle évalue les définitions de conteneur dans une définition de tâche uniquement si elles `operatingSystemFamily` sont configurées comme `WINDOWS_SERVER` ou `operatingSystemFamily` non dans la définition de tâche. Le contrôle générera un `FAILED` résultat pour une définition de tâche évaluée si aucune définition de conteneur dans la définition de tâche `user` n'a été configurée ou `user` configurée en tant qu'administrateur par défaut pour les `WINDOWS_SERVER` conteneurs, ce qui est le cas`"containeradministrator"`.
### Correction
Pour plus d'informations sur la création d'une nouvelle révision d'une définition de tâche Amazon ECS et la mise à jour du `user` paramètre dans la définition de conteneur, consultez la section [Mise à jour d'une définition de tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) dans le manuel *Amazon Elastic Container Service Developer Guide*.
# Contrôles CSPM du Security Hub pour Amazon EFS
Ces contrôles CSPM du Security Hub évaluent le service et les ressources Amazon Elastic File System (Amazon EFS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si Amazon Elastic File System est configuré pour chiffrer les données du fichier à l'aide AWS KMS de. La vérification échoue dans les cas suivants.
+ `Encrypted` est défini sur `false` dans la réponse [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html).
+ La clé `KmsKeyId` de la [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) réponse ne correspond pas au paramètre `KmsKeyId` pour [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).
Notez que ce contrôle n'utilise pas le paramètre `KmsKeyId` pour [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Il ne vérifie que la valeur de `Encrypted`.
Pour renforcer la sécurité de vos données sensibles dans Amazon EFS, vous devez créer des systèmes de fichiers chiffrés. Amazon EFS prend en charge le chiffrement des systèmes de fichiers au repos. Vous pouvez activer le chiffrement des données au repos lorsque vous créez un système de fichiers Amazon EFS. Pour en savoir plus sur le chiffrement Amazon EFS, consultez la section [Chiffrement des données dans Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) dans le manuel *Amazon Elastic File System User Guide*.
### Correction
Pour en savoir plus sur le chiffrement d'un nouveau système de fichiers Amazon EFS, consultez la section [Chiffrement des données au repos dans le](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) manuel *Amazon Elastic File System User Guide*.
## [EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie :** Restaurer > Résilience > Backup
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les systèmes de fichiers Amazon Elastic File System (Amazon EFS) sont ajoutés aux plans de sauvegarde AWS Backup. Le contrôle échoue si les systèmes de fichiers Amazon EFS ne sont pas inclus dans les plans de sauvegarde.
L'inclusion des systèmes de fichiers EFS dans les plans de sauvegarde vous aide à protéger vos données contre la suppression et la perte de données.
### Correction
Pour activer les sauvegardes automatiques pour un système de fichiers Amazon EFS existant, consultez [Getting started 4 : Create Amazon EFS automatic backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) dans le *manuel du AWS Backup développeur*.
## [EFS.3] Les points d'accès EFS devraient imposer un répertoire racine
**Exigences connexes :** NIST.800-53.r5 AC-6 (10)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::AccessPoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les points d'accès Amazon EFS sont configurés pour appliquer un répertoire racine. Le contrôle échoue si la valeur de `Path` est définie sur `/` (le répertoire racine par défaut du système de fichiers).
Lors de l’application forcée d’un répertoire racine, le client NFS lié au point d’accès utilise le répertoire racine configuré sur le point d’accès au lieu du répertoire racine du système de fichiers. L'application d'un répertoire racine pour un point d'accès permet de restreindre l'accès aux données en garantissant que les utilisateurs du point d'accès ne peuvent accéder qu'aux fichiers du sous-répertoire spécifié.
### Correction
Pour savoir comment appliquer un répertoire racine à un point d'accès Amazon EFS, consultez la section Application d'un [répertoire racine par un point d'accès](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) dans le *guide de l'utilisateur Amazon Elastic File System*.
## [EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
**Exigences connexes :** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::AccessPoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les points d'accès Amazon EFS sont configurés pour renforcer l'identité d'un utilisateur. Ce contrôle échoue si aucune identité d'utilisateur POSIX n'est définie lors de la création du point d'accès EFS.
Les points d’accès Amazon EFS sont des points d’entrée spécifiques à l’application dans un système de fichiers EFS, lesquels facilitent la gestion de l’accès des applications aux jeux de données partagés. Les points d’accès peuvent appliquer de manière forcée une identité d’utilisateur, y compris les groupes POSIX de l’utilisateur, pour toutes les demandes de système de fichiers effectuées via le point d’accès. Les points d’accès peuvent également appliquer de manière forcée un répertoire racine différent pour le système de fichiers afin que les clients puissent uniquement accéder aux données stockées dans le répertoire spécifié ou dans les sous-répertoires.
### Correction
Pour renforcer l'identité d'un utilisateur pour un point d'accès Amazon EFS, consultez la section [Renforcer l'identité d'un utilisateur à l'aide d'un point d'accès](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) dans le *guide de l'utilisateur Amazon Elastic File System*.
## [EFS.5] Les points d'accès EFS doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EFS::AccessPoint`
**AWS Config règle :** `tagged-efs-accesspoint` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un point d'accès Amazon EFS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le point d'accès ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le point d'accès n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un point d'accès EFS, consultez la section [Marquage des ressources Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) dans le manuel *Amazon Elastic File System User Guide*.
## [EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement
**Catégorie :** Protéger > Sécurité du réseau > Ressources non accessibles au public
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une cible de montage Amazon EFS est associée à des sous-réseaux qui attribuent des adresses IP publiques lors du lancement. Le contrôle échoue si la cible de montage est associée à des sous-réseaux qui attribuent des adresses IP publiques au lancement.
Les sous-réseaux possèdent des attributs qui déterminent si les interfaces réseau reçoivent automatiquement le public IPv4 et les IPv6 adresses. Pour IPv4, cet attribut est défini sur pour les sous-réseaux par défaut et `TRUE` `FALSE` pour les sous-réseaux autres que ceux par défaut (à l'exception des sous-réseaux autres que ceux par défaut créés via l'assistant de lancement d'instance EC2, où il est défini sur). `TRUE` Car IPv6, cet attribut est défini sur tous `FALSE` les sous-réseaux par défaut. Lorsque ces attributs sont activés, les instances lancées dans le sous-réseau reçoivent automatiquement les adresses IP correspondantes (IPv4 ou IPv6) sur leur interface réseau principale. Les cibles de montage Amazon EFS lancées dans des sous-réseaux sur lesquels cet attribut est activé disposent d'une adresse IP publique attribuée à leur interface réseau principale.
### Correction
Pour associer une cible de montage existante à un sous-réseau différent, vous devez créer une nouvelle cible de montage dans un sous-réseau qui n'attribue pas d'adresses IP publiques au lancement, puis supprimer l'ancienne cible de montage. Pour plus d'informations sur la gestion des cibles de montage, consultez la section [Création et gestion des cibles de montage et des groupes de sécurité](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) dans le manuel *Amazon Elastic File System User Guide*.
## [EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les sauvegardes automatiques sont activées sur un système de fichiers Amazon EFS. Ce contrôle échoue si les sauvegardes automatiques ne sont pas activées dans le système de fichiers EFS.
Une sauvegarde de données est une copie des données de votre système, de votre configuration ou de votre application qui est stockée séparément de l'original. L'activation de sauvegardes régulières vous permet de protéger les données importantes contre les événements imprévus tels que les défaillances du système, les cyberattaques ou les suppressions accidentelles. Une stratégie de sauvegarde robuste permet également une restauration plus rapide, la continuité des activités et une tranquillité d'esprit face à une perte de données potentielle.
### Correction
Pour plus d'informations sur l'utilisation AWS Backup des systèmes de fichiers EFS, consultez la section [Sauvegarde des systèmes de fichiers EFS](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) dans le manuel *Amazon Elastic File System User Guide*.
## [EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/2.3.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EFS::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un système de fichiers Amazon EFS chiffre les données avec AWS Key Management Service (AWS KMS). Le contrôle échoue si le système de fichiers n'est pas chiffré.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour activer le chiffrement au repos pour un nouveau système de fichiers EFS, consultez la section [Chiffrement des données au repos](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) dans le manuel *Amazon Elastic File System User Guide*.
# Contrôles Security Hub CSPM pour Amazon EKS
Ces contrôles CSPM du Security Hub évaluent le service et les ressources Amazon Elastic Kubernetes Service (Amazon EKS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::EKS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un point de terminaison d'un cluster Amazon EKS est accessible au public. Le contrôle échoue si un cluster EKS possède un point de terminaison accessible au public.
Lorsque vous créez un nouveau cluster, Amazon EKS crée un point de terminaison pour le serveur d'API Kubernetes géré que vous utilisez pour communiquer avec votre cluster. Par défaut, ce point de terminaison du serveur d'API est accessible au public sur Internet. L'accès au serveur d'API est sécurisé à l'aide d'une combinaison de Gestion des identités et des accès AWS (IAM) et de contrôle d'accès basé sur les rôles (RBAC) Kubernetes natif. En supprimant l'accès public au point de terminaison, vous pouvez éviter une exposition et un accès involontaires à votre cluster.
### Correction
Pour modifier l'accès aux points de terminaison pour un cluster EKS existant, consultez la section [Modification de l'accès aux points de terminaison du cluster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) dans le **guide de l'utilisateur Amazon EKS**. Vous pouvez configurer l'accès aux terminaux pour un nouveau cluster EKS lors de sa création. Pour obtenir des instructions sur la création d'un nouveau cluster Amazon EKS, consultez la section [Création d'un cluster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) dans le **guide de l'utilisateur Amazon EKS**.
## [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), nIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::EKS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `oldestVersionSupported`: `1.33` (non personnalisable)
Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. Le contrôle échoue si le cluster EKS s'exécute sur une version non prise en charge.
Si votre application ne nécessite pas de version spécifique de Kubernetes, nous vous recommandons d'utiliser la dernière version disponible de Kubernetes prise en charge par EKS pour vos clusters. **Pour plus d'informations, consultez le [calendrier de publication d'Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) et [Comprendre le cycle de vie des versions de Kubernetes sur Amazon EKS dans le guide de l'utilisateur d'Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation).**
### Correction
Pour mettre à jour un cluster EKS, consultez la section [Mettre à jour un cluster existant vers une nouvelle version de Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) dans le guide de l'utilisateur **Amazon EKS**.
## [EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
**Exigences connexes :** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EKS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon EKS utilise des secrets Kubernetes chiffrés. Le contrôle échoue si les secrets Kubernetes du cluster ne sont pas chiffrés.
Lorsque vous chiffrez des secrets, vous pouvez utiliser les clés AWS Key Management Service (AWS KMS) pour chiffrer l'enveloppe des secrets Kubernetes stockés dans etcd pour votre cluster. Ce chiffrement s'ajoute au chiffrement des volumes EBS activé par défaut pour toutes les données (y compris les secrets) stockées dans etcd dans le cadre d'un cluster EKS. L'utilisation du chiffrement des secrets pour votre cluster EKS vous permet de déployer une stratégie de défense approfondie pour les applications Kubernetes en chiffrant les secrets Kubernetes à l'aide d'une clé KMS que vous définissez et gérez.
### Correction
Pour activer le chiffrement secret sur un cluster EKS, consultez la section [Activation du chiffrement secret sur un cluster existant](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) dans le **guide de l'utilisateur Amazon EKS**.
## [EKS.6] Les clusters EKS doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EKS::Cluster`
**AWS Config règle :** `tagged-eks-cluster` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un cluster Amazon EKS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un cluster EKS, consultez la section [Marquage de vos ressources Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) dans le **guide de l'utilisateur Amazon EKS**.
## [EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::EKS::IdentityProviderConfig`
**AWS Config règle :** `tagged-eks-identityproviderconfig` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une configuration de fournisseur d'identité Amazon EKS comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la configuration ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la configuration n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises aux configurations d'un fournisseur d'identité EKS, consultez la section [Marquage de vos ressources Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) dans le **guide de l'utilisateur Amazon EKS**.
## [EKS.8] La journalisation des audits doit être activée sur les clusters EKS
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::EKS::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `logTypes: audit`(non personnalisable)
Ce contrôle vérifie si la journalisation des audits est activée sur un cluster Amazon EKS. Le contrôle échoue si la journalisation des audits n'est pas activée pour le cluster.
**Note**
Ce contrôle ne vérifie pas si la journalisation des audits Amazon EKS est activée via Amazon Security Lake pour le Compte AWS.
La journalisation du plan de contrôle EKS fournit des journaux d'audit et de diagnostic directement depuis le plan de contrôle EKS vers Amazon CloudWatch Logs dans votre compte. Vous pouvez sélectionner les types de journaux dont vous avez besoin, et les journaux sont envoyés sous forme de flux de journaux à un groupe pour chaque cluster EKS inclus CloudWatch. La journalisation fournit une visibilité sur l'accès et les performances des clusters EKS. En envoyant les journaux du plan de contrôle EKS pour vos clusters EKS à CloudWatch Logs, vous pouvez enregistrer les opérations à des fins d'audit et de diagnostic dans un emplacement central.
### Correction
Pour activer les journaux d'audit pour votre cluster EKS, consultez la section [Activation et désactivation des journaux du plan de contrôle](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) dans le **guide de l'utilisateur Amazon EKS**.
# Contrôles Security Hub CSPM pour ElastiCache
Ces AWS Security Hub CSPM contrôles évaluent le ElastiCache service et les ressources Amazon. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Élevée
**Type de ressource :**`AWS::ElastiCache::CacheCluster`, `AWS:ElastiCache:ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `snapshotRetentionPeriod` | Durée minimale de conservation des instantanés en jours | Entier | `1` sur `35` | `1` |
Ce contrôle évalue si les sauvegardes automatiques sont activées sur un cluster Amazon ElastiCache (Redis OSS). Le contrôle échoue si `SnapshotRetentionLimit` le cluster Redis OSS est inférieur à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des instantanés, Security Hub CSPM utilise une valeur par défaut de 1 jour.
ElastiCache Les clusters (Redis OSS) peuvent sauvegarder leurs données. Vous pouvez utiliser la sauvegarde pour restaurer un cluster ou en créer un nouveau. La sauvegarde comprend les métadonnées du cluster, ainsi que toutes les données du cluster. Toutes les sauvegardes sont écrites sur Amazon S3, qui fournit un stockage durable. Vous pouvez restaurer vos données en créant un nouveau ElastiCache cluster et en le remplissant avec les données d'une sauvegarde. Vous pouvez gérer les sauvegardes à l'aide de l'API AWS Management Console AWS CLI, du et de l' ElastiCache API.
**Note**
Ce contrôle évalue également les groupes de ElastiCache réplication (Redis OSS et Valkey).
### Correction
Pour plus d'informations sur la planification de sauvegardes automatiques pour un ElastiCache cluster, consultez la section [Planification de sauvegardes automatiques](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) dans le *guide de ElastiCache l'utilisateur Amazon*.
## [ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5) PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::ElastiCache::CacheCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle évalue si Amazon applique ElastiCache automatiquement les mises à niveau de versions mineures à un cluster de cache. Le contrôle échoue si aucune mise à niveau de version mineure n'est automatiquement appliquée au cluster de cache.
**Note**
Ce contrôle ne s'applique pas aux clusters ElastiCache Memcached.
La mise à niveau automatique des versions mineures est une fonctionnalité que vous pouvez activer sur Amazon ElastiCache pour mettre à niveau automatiquement vos clusters de cache lorsqu'une nouvelle version du moteur de cache secondaire est disponible. Ces mises à niveau peuvent inclure des correctifs de sécurité et des corrections de bogues. S'en up-to-date tenir à l'installation des correctifs est une étape importante de la sécurisation des systèmes.
### Correction
Pour appliquer automatiquement des mises à niveau de versions mineures à un cluster de ElastiCache cache existant, consultez [la section Gestion des versions ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) dans le *guide de ElastiCache l'utilisateur Amazon*.
## [ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElastiCache::ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le basculement automatique est activé pour un groupe de ElastiCache réplication. Le contrôle échoue si le basculement automatique n'est pas activé pour un groupe de réplication.
Lorsque le basculement automatique est activé pour un groupe de réplication, le rôle du nœud principal passe automatiquement à l'une des répliques lues. Cette promotion basée sur le basculement et les répliques vous permet de reprendre l'écriture vers le nouveau serveur principal une fois la promotion terminée, ce qui réduit le temps d'arrêt global en cas de panne.
### Correction
Pour activer le basculement automatique pour un groupe de ElastiCache réplication existant, consultez la section [Modification d'un ElastiCache cluster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) dans le *guide de l' ElastiCache utilisateur Amazon*. Si vous utilisez la ElastiCache console, réglez le **basculement automatique** sur Activé.
## [ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElastiCache::ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe ElastiCache de réplication est chiffré au repos. Le contrôle échoue si le groupe de réplication n'est pas chiffré au repos.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. ElastiCache Les groupes de réplication (Redis OSS) doivent être chiffrés au repos pour renforcer la sécurité.
### Correction
Pour configurer le chiffrement au repos sur un groupe de ElastiCache réplication, consultez la section [Activation du chiffrement au repos](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) dans le guide de * ElastiCache l'utilisateur Amazon*.
## [ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElastiCache::ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe ElastiCache de réplication est chiffré en transit. Le contrôle échoue si le groupe de réplication n'est pas chiffré pendant le transit.
Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau. L'activation du chiffrement en transit sur un groupe de ElastiCache réplication chiffre vos données chaque fois qu'elles sont déplacées d'un endroit à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application.
### Correction
Pour configurer le chiffrement en transit sur un groupe de ElastiCache réplication, consultez la section [Activation du chiffrement en transit dans le](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) guide de * ElastiCache l'utilisateur Amazon*.
## [ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.3.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElastiCache::ReplicationGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si Redis OSS AUTH est activé sur un groupe de réplication ElastiCache (Redis OSS). Le contrôle échoue si la version Redis OSS des nœuds du groupe de réplication est inférieure à 6.0 et `AuthToken` n'est pas utilisée.
Lorsque vous utilisez des jetons d'authentification ou des mots de passe Redis, Redis exige un mot de passe avant d'autoriser les clients à exécuter des commandes, ce qui améliore la sécurité des données. Pour Redis 6.0 et les versions ultérieures, nous recommandons d'utiliser le contrôle d'accès basé sur les rôles (RBAC). Le RBAC n'étant pas pris en charge pour les versions de Redis antérieures à 6.0, ce contrôle évalue uniquement les versions qui ne peuvent pas utiliser la fonctionnalité RBAC.
### Correction
*Pour utiliser Redis AUTH sur un groupe de réplication ElastiCache (Redis OSS), consultez la section [Modification du jeton AUTH sur un cluster ElastiCache (Redis OSS) existant dans le guide de l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token). ElastiCache *
## [ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::ElastiCache::CacheCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un ElastiCache cluster est configuré avec un groupe de sous-réseaux personnalisé. Le contrôle échoue si `CacheSubnetGroupName` un ElastiCache cluster possède la valeur`default`.
Lors du lancement d'un ElastiCache cluster, un groupe de sous-réseaux par défaut est créé s'il n'en existe pas déjà un. Le groupe par défaut utilise les sous-réseaux du Virtual Private Cloud (VPC) par défaut. Nous vous recommandons d'utiliser des groupes de sous-réseaux personnalisés qui limitent davantage les sous-réseaux dans lesquels réside le cluster et le réseau dont le cluster hérite des sous-réseaux.
### Correction
Pour créer un nouveau groupe de sous-réseaux pour un ElastiCache cluster, consultez la section [Création d'un groupe de sous-réseaux](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) dans le guide de * ElastiCache l'utilisateur Amazon*.
# Contrôles CSPM du Security Hub pour Elastic Beanstalk
Ces AWS Security Hub CSPM contrôles évaluent le AWS Elastic Beanstalk service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::ElasticBeanstalk::Environment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les rapports de santé améliorés sont activés pour vos AWS Elastic Beanstalk environnements.
Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application.
Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. L'agent de santé Elastic Beanstalk, inclus dans les Amazon Machine AMIs Images () compatibles, évalue les journaux et les métriques des instances d'environnement. EC2
Pour plus d'informations, consultez la section [Rapports et surveillance de l'état améliorés](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) dans le *Guide du AWS Elastic Beanstalk développeur*.
### Correction
*Pour savoir comment activer les rapports de santé améliorés, consultez la section [Activation des rapports de santé améliorés à l'aide de la console Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) dans le manuel du développeur.AWS Elastic Beanstalk *
## [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::ElasticBeanstalk::Environment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `UpdateLevel` | Niveau de mise à jour de version | Enum | `minor`, `patch` | Aucune valeur par défaut |
Ce contrôle vérifie si les mises à jour de plateforme gérées sont activées pour un environnement Elastic Beanstalk. Le contrôle échoue si aucune mise à jour de plateforme gérée n'est activée. Par défaut, le contrôle est transmis si un type de mise à jour de plateforme est activé. Vous pouvez éventuellement fournir une valeur de paramètre personnalisée pour exiger un niveau de mise à jour spécifique.
L'activation des mises à jour de plate-forme gérées garantit que les derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement sont installés. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
### Correction
Pour activer les mises à jour de plateformes gérées, voir [Pour configurer les mises à jour de plateformes gérées sous Mises à jour de plateformes gérées](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) dans le *guide du AWS Elastic Beanstalk développeur*.
## [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Élevée
**Type de ressource :** `AWS::ElasticBeanstalk::Environment`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `RetentionInDays` | Nombre de jours pendant lesquels consigner les événements avant leur expiration | Enum | `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653` | Aucune valeur par défaut |
Ce contrôle vérifie si un environnement Elastic Beanstalk est configuré pour envoyer des journaux à Logs. CloudWatch Le contrôle échoue si un environnement Elastic Beanstalk n'est pas configuré pour envoyer des journaux à Logs. CloudWatch Vous pouvez éventuellement fournir une valeur personnalisée pour le `RetentionInDays` paramètre si vous souhaitez que le contrôle soit transmis uniquement si les journaux sont conservés pendant le nombre de jours spécifié avant leur expiration.
CloudWatch vous aide à collecter et à surveiller diverses mesures relatives à vos applications et à vos ressources d'infrastructure. Vous pouvez également l'utiliser CloudWatch pour configurer des actions d'alarme en fonction de métriques spécifiques. Nous vous recommandons d'intégrer Elastic CloudWatch Beanstalk pour améliorer la visibilité de votre environnement Elastic Beanstalk. Les journaux Elastic Beanstalk incluent le fichier eb-activity.log, les journaux d'accès depuis l'environnement nginx ou le serveur proxy Apache, et les journaux spécifiques à un environnement.
### Correction
*Pour intégrer Elastic CloudWatch Beanstalk à Logs[, consultez la section Streaming des logs d'instance vers Logs dans le Guide du CloudWatch développeur](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming).AWS Elastic Beanstalk *
# Contrôles CSPM de Security Hub pour Elastic Load Balancing
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Elastic Load Balancing. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS
**Exigences associées :** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3 NIST.800-53.r5 AC-4, 3 NIST.800-53.r5 IA-5 (3), 3 (3), (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8
**Catégorie :** Détecter - Services de détection
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la redirection HTTP vers HTTPS est configurée sur tous les écouteurs HTTP des équilibreurs de charge d'application. Le contrôle échoue si la redirection HTTP vers HTTPS n'est pas configurée pour l'un des écouteurs HTTP des équilibreurs de charge d'application.
Avant de commencer à utiliser votre Application Load Balancer, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs supportent à la fois les protocoles HTTP et HTTPS. Vous pouvez utiliser un écouteur HTTPS pour transférer le travail de chiffrement et de déchiffrement à votre équilibreur de charge. Pour appliquer le chiffrement en transit, vous devez utiliser des actions de redirection avec les équilibreurs de charge d'application pour rediriger les requêtes HTTP des clients vers une requête HTTPS sur le port 443.
Pour en savoir plus, consultez la section [Écouteurs pour vos équilibreurs de charge d'application dans le Guide de l'utilisateur pour les équilibreurs](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) *de charge d'application*.
### Correction
Pour rediriger les requêtes HTTP vers HTTPS, vous devez ajouter une règle d'écoute Application Load Balancer ou modifier une règle existante.
Pour obtenir des instructions sur l'ajout d'une nouvelle règle, voir [Ajouter une règle](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) dans le *Guide de l'utilisateur pour les équilibreurs de charge d'application*. Pour **Protocole : Port**, choisissez **HTTP**, puis entrez**80**. Pour **Ajouter une action, Rediriger vers**, choisissez **HTTPS**, puis entrez**443**.
Pour obtenir des instructions sur la modification d'une règle existante, voir [Modifier une règle](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) dans le *Guide de l'utilisateur des équilibreurs de charge d'application*. Pour **Protocole : Port**, choisissez **HTTP**, puis entrez**80**. Pour **Ajouter une action, Rediriger vers**, choisissez **HTTPS**, puis entrez**443**.
## [ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, NIST.800-53.r5 SC-1 3 (5), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.R2 3.13.8
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le Classic Load Balancer utilise les HTTPS/SSL certificats fournis par AWS Certificate Manager (ACM). Le contrôle échoue si le Classic Load Balancer configuré avec un HTTPS/SSL écouteur n'utilise pas de certificat fourni par ACM.
Pour créer un certificat, vous pouvez utiliser ACM ou un outil compatible avec les protocoles SSL et TLS, comme OpenSSL. Security Hub CSPM vous recommande d'utiliser ACM pour créer ou importer des certificats pour votre équilibreur de charge.
ACM s'intègre aux équilibreurs de charge classiques afin que vous puissiez déployer le certificat sur votre équilibreur de charge. Vous devez également renouveler automatiquement ces certificats.
### Correction
Pour plus d'informations sur la façon d'associer un SSL/TLS certificat ACM à un Classic Load Balancer, consultez AWS l'[article du Knowledge Center How can I associate an SSL/TLS ACM certificate with a Classic, Application ou Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/) ?
## [ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.R2 3.13.8, NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si vos écouteurs Classic Load Balancer sont configurés avec le protocole HTTPS ou TLS pour les connexions frontales (client-équilibreur de charge). Le contrôle est applicable si un Classic Load Balancer possède des écouteurs. Si aucun écouteur n'est configuré sur votre Classic Load Balancer, le contrôle ne signale aucun résultat.
Le contrôle passe si les écouteurs Classic Load Balancer sont configurés avec TLS ou HTTPS pour les connexions frontales.
Le contrôle échoue si l'écouteur n'est pas configuré avec TLS ou HTTPS pour les connexions frontales.
Avant de commencer à utiliser un équilibreur de charge, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs peuvent prendre en charge à la fois le protocole HTTP et les HTTPS/TLS protocoles. Vous devez toujours utiliser un écouteur HTTPS ou TLS, afin que l'équilibreur de charge effectue le chiffrement et le déchiffrement en transit.
### Correction
Pour remédier à ce problème, mettez à jour vos écouteurs afin qu'ils utilisent le protocole TLS ou HTTPS.
**Pour remplacer tous les écouteurs non conformes par des écouteurs TLS/HTTPS**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, sous **Équilibrage de charge**, choisissez **Équilibreurs de charge**.
1. Sélectionnez votre Classic Load Balancer.
1. Sous l'onglet **Listeners**, choisissez **Edit**.
1. Pour tous les écouteurs pour lesquels le protocole **Load Balancer** n'est pas défini sur HTTPS ou SSL, modifiez le paramètre sur HTTPS ou SSL.
1. Pour tous les écouteurs modifiés, dans l'onglet **Certificats**, sélectionnez **Modifier par défaut**.
1. Pour **Certificats ACM et IAM**, sélectionnez un certificat.
1. Choisissez **Enregistrer par défaut**.
1. Après avoir mis à jour tous les écouteurs, choisissez **Enregistrer**.
## [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
**Exigences associées :** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle évalue si un Application Load Balancer est configuré pour supprimer les en-têtes HTTP non valides. Le contrôle échoue si la valeur de `routing.http.drop_invalid_header_fields.enabled` est définie sur`false`.
Par défaut, les équilibreurs de charge d'application ne sont pas configurés pour supprimer les valeurs d'en-tête HTTP non valides. La suppression de ces valeurs d'en-tête empêche les attaques de désynchronisation HTTP.
**Note**
Nous vous recommandons de désactiver ce contrôle si ELB.12 est activé sur votre compte. Pour de plus amples informations, veuillez consulter [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](#elb-12).
### Correction
Pour remédier à ce problème, configurez votre équilibreur de charge pour supprimer les champs d'en-tête non valides.
**Pour configurer l'équilibreur de charge afin de supprimer les champs d'en-tête non valides**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Load Balancers (Équilibreurs de charge)**.
1. Choisissez un Application Load Balancer.
1. Dans **Actions**, sélectionnez **Modifier les attributs**.
1. Sous Supprimer **les champs d'en-tête non valides**, sélectionnez **Activer**.
1. Choisissez **Enregistrer**.
## [ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :**`AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée dans l'Application Load Balancer et le Classic Load Balancer. Le contrôle échoue si tel `access_logs.s3.enabled` est le cas`false`.
Elastic Load Balancing fournit des journaux d'accès qui capturent des informations détaillées sur les demandes envoyées à votre équilibreur de charge. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. Vous pouvez utiliser ces journaux d'accès pour analyser les modèles de trafic et résoudre des problèmes.
Pour en savoir plus, consultez les [journaux d'accès de votre Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) dans le *guide de l'utilisateur pour les Classic Load* Balancers.
### Correction
Pour activer les journaux d'accès, reportez-vous à l'[étape 3 : Configuration des journaux d'accès](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) dans le *Guide de l'utilisateur pour les équilibreurs de charge d'application*.
## [ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée pour une application, une passerelle ou un Network Load Balancer. Le contrôle échoue si la protection contre la suppression est désactivée.
Activez la protection contre la suppression pour empêcher la suppression de votre application, de votre passerelle ou de votre Network Load Balancer.
### Correction
Pour éviter la suppression accidentelle de votre équilibreur de charge, vous pouvez activer la protection contre la suppression. Par défaut, la protection contre la suppression est désactivée pour votre équilibreur de charge.
Si vous activez la protection contre la suppression pour votre équilibreur de charge, vous devez désactiver la protection contre la suppression avant de pouvoir supprimer l'équilibreur de charge.
Pour activer la protection contre la suppression pour un Application Load Balancer, consultez la section [Protection contre la suppression](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) dans le *Guide de l'utilisateur pour les Application Load* Balancers. Pour activer la protection contre la suppression pour un Gateway Load Balancer, consultez la section [Protection contre la suppression](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) dans le *Guide de l'utilisateur pour les Gateway Load* Balancers. Pour activer la protection contre la suppression pour un Network Load Balancer, consultez la section [Protection contre la suppression](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) dans le *Guide de l'utilisateur pour les Network Load* Balancers.
## [ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Récupération > Résilience
**Gravité : ** Faible
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**AWS Config règle :** `elb-connection-draining-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le drainage des connexions est activé sur les équilibreurs de charge classiques.
L'activation du drainage des connexions sur les équilibreurs de charge classiques garantit que l'équilibreur de charge cesse d'envoyer des demandes aux instances dont l'enregistrement est annulé ou qui ne fonctionnent pas correctement. Cela permet de maintenir ouvertes les connexions existantes. Cela est particulièrement utile pour les instances des groupes Auto Scaling, afin de garantir que les connexions ne sont pas interrompues brusquement.
### Correction
Pour activer le drainage des connexions sur les Classic Load Balancers, voir [Configurer le drainage des connexions pour votre Classic Load Balancer *dans le Guide de l'utilisateur* pour les Classic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html) Balancers.
## [ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.R2 3.13.8, NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (non personnalisable)
Ce contrôle vérifie si vos HTTPS/SSL écouteurs Classic Load Balancer utilisent la politique prédéfinie. `ELBSecurityPolicy-TLS-1-2-2017-01` Le contrôle échoue si les HTTPS/SSL écouteurs Classic Load Balancer ne sont pas utilisés. `ELBSecurityPolicy-TLS-1-2-2017-01`
Une politique de sécurité est une combinaison de protocoles SSL, de chiffrements et de l'option de préférence d'ordre du serveur. Des politiques prédéfinies contrôlent les chiffrements, les protocoles et les ordres de préférence à prendre en charge lors des négociations SSL entre un client et un équilibreur de charge.
L'utilisation `ELBSecurityPolicy-TLS-1-2-2017-01` peut vous aider à respecter les normes de conformité et de sécurité qui vous obligent à désactiver des versions spécifiques de SSL et TLS. Pour plus d'informations, voir [Politiques de sécurité SSL prédéfinies pour les équilibreurs de charge classiques dans le Guide de l'utilisateur pour les équilibreurs](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html) *de charge classiques*.
### Correction
Pour plus d'informations sur l'utilisation de la politique de sécurité prédéfinie `ELBSecurityPolicy-TLS-1-2-2017-01` avec un Classic Load Balancer, voir [Configurer les paramètres de sécurité](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) dans le *Guide de l'utilisateur pour les Classic Load* Balancers.
## [ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'équilibrage de charge entre zones est activé pour les équilibreurs de charge classiques ()CLBs. Le contrôle échoue si l'équilibrage de charge entre zones n'est pas activé pour un CLB.
Un nœud d'équilibrage de charge distribue le trafic uniquement entre les cibles enregistrées dans sa zone de disponibilité. Lorsque l'équilibrage de charge entre zones est désactivé, chaque nœud d'équilibreur de charge distribue le trafic entre les cibles enregistrées dans sa zone de disponibilité uniquement. Si le nombre de cibles enregistrées n'est pas le même dans toutes les zones de disponibilité, le trafic ne sera pas réparti uniformément et les instances d'une zone risquent d'être surutilisées par rapport aux instances d'une autre zone. Lorsque l'équilibrage de charge entre zones est activé, chaque nœud d'équilibreur de charge de votre Classic Load Balancer répartit les demandes de manière uniforme entre les instances enregistrées dans toutes les zones de disponibilité activées. Pour plus de détails, consultez la [section sur l'équilibrage de charge entre zones](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) dans le guide de l'utilisateur d'Elastic Load Balancing.
### Correction
Pour activer l'équilibrage de charge entre zones dans un Classic Load Balancer, [voir Activer l'équilibrage de charge entre zones dans *le Guide de l'utilisateur* des Classic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) Balancers.
## [ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si un Classic Load Balancer a été configuré pour couvrir au moins le nombre spécifié de zones de disponibilité ()AZs. Le contrôle échoue si le Classic Load Balancer ne couvre pas au moins le nombre spécifié de. AZs À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Un Classic Load Balancer peut être configuré pour répartir les demandes entrantes entre les instances Amazon EC2 au sein d'une seule zone de disponibilité ou de plusieurs zones de disponibilité. Un Classic Load Balancer qui ne couvre pas plusieurs zones de disponibilité ne peut pas rediriger le trafic vers des cibles situées dans une autre zone de disponibilité si la seule zone de disponibilité configurée devient indisponible.
### Correction
Pour ajouter des zones de disponibilité à un Classic Load Balancer, consultez la section [Ajouter ou supprimer des sous-réseaux pour votre Classic Load Balancer dans *le Guide de l'utilisateur* des Classic Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html) Balancers.
## [ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4
**Catégorie :** Protéger > Protection des données > Intégrité des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `desyncMode`: `defensive, strictest` (non personnalisable)
Ce contrôle vérifie si un Application Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si un Application Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.
Les problèmes de désynchronisation HTTP peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. À leur tour, ces vulnérabilités peuvent entraîner un bourrage d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge des applications configurés avec le mode défensif ou le mode d'atténuation de la désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation HTTP.
### Correction
Pour mettre à jour le mode d'atténuation de la désynchronisation d'un Application Load Balancer, [consultez la section Mode d'atténuation de désynchronisation](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) dans le Guide de *l'utilisateur pour les* Application Load Balancers.
## [ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si un Elastic Load Balancer V2 (Application, Network ou Gateway Load Balancer) possède des instances enregistrées depuis au moins le nombre spécifié de zones de disponibilité (). AZs Le contrôle échoue si un Elastic Load Balancer V2 ne possède pas d'instances enregistrées dans au moins le nombre spécifié de. AZs À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Elastic Load Balancing distribue automatiquement votre trafic entrant sur plusieurs cibles (par exemple, des instances EC2, des conteneurs et des adresses IP) dans une ou plusieurs zones de disponibilité. Elastic Load Balancing met à l'échelle votre équilibreur de charge à mesure que votre trafic entrant change au fil du temps. Il est recommandé de configurer au moins deux zones de disponibilité pour garantir la disponibilité des services, car l'Elastic Load Balancer sera en mesure de diriger le trafic vers une autre zone de disponibilité en cas d'indisponibilité de l'une d'entre elles. La configuration de plusieurs zones de disponibilité permet d'éliminer le point de défaillance unique de l'application.
### Correction
Pour ajouter une zone de disponibilité à un Application Load Balancer, consultez [la section Zones de disponibilité de votre Application Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) Balancer dans *le Guide de l'utilisateur* des Application Load Balancers. Pour ajouter une zone de disponibilité à un Network Load Balancer, consultez la section [Network Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) dans le *Guide de l'utilisateur pour les Network* Load Balancers. Pour ajouter une zone de disponibilité à un Gateway Load Balancer, voir [Create a Gateway Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) dans *le Guide de l'utilisateur* des Gateway Load Balancers.
## [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4
**Catégorie :** Protéger > Protection des données > Intégrité des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `desyncMode`: `defensive, strictest` (non personnalisable)
Ce contrôle vérifie si un Classic Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si le Classic Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.
Les problèmes de désynchronisation HTTP peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. À leur tour, ces vulnérabilités peuvent entraîner le détournement d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge classiques configurés avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation HTTP.
### Correction
Pour mettre à jour le mode d'atténuation de la désynchronisation sur un Classic Load Balancer, [voir Modifier le mode d'atténuation de la désynchronisation dans *le Guide de l'utilisateur* des Classic](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) Load Balancers.
## [ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF
**Exigences connexes :** NIST.800-53.r5 AC-4 (21)
**Catégorie :** Protéger > Services de protection
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un Application Load Balancer est associé à une liste de contrôle d'accès AWS WAF classique ou AWS WAF Web (ACL Web). Le contrôle échoue si le `Enabled` champ de AWS WAF configuration est défini sur`false`.
AWS WAF est un pare-feu pour applications Web qui aide à protéger les applications Web APIs contre les attaques. Avec AWS WAF, vous pouvez configurer une ACL Web, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Nous vous recommandons d'associer votre Application Load Balancer à une ACL AWS WAF Web pour le protéger des attaques malveillantes.
### Correction
*Pour associer un Application Load Balancer à une ACL Web, consultez la section [Associer ou dissocier une ACL Web à une AWS ressource](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html) dans le Guide du AWS WAF développeur.*
## [ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::Listener`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)
**Type de calendrier :** changement déclenché
**Paramètres `sslPolicies` :** `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (non personnalisable)
Ce contrôle vérifie si l'écouteur HTTPS d'un Application Load Balancer ou l'écouteur TLS d'un Network Load Balancer est configuré pour chiffrer les données en transit en utilisant une politique de sécurité recommandée. Le contrôle échoue si l'écouteur HTTPS ou TLS d'un équilibreur de charge n'est pas configuré pour utiliser une politique de sécurité recommandée.
Elastic Load Balancing utilise une configuration de négociation SSL, connue sous le nom *de politique de sécurité*, pour négocier les connexions entre un client et un équilibreur de charge. La politique de sécurité définit une combinaison de protocoles et de chiffrements. Le protocole établit une connexion sécurisée entre un client et un serveur. Un chiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Pendant le processus de négociation de connexion , le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. L'utilisation d'une politique de sécurité recommandée pour un équilibreur de charge peut vous aider à respecter les normes de conformité et de sécurité.
### Correction
Pour plus d'informations sur les politiques de sécurité recommandées et sur la manière de mettre à jour les écouteurs, consultez les sections suivantes des *guides de l'utilisateur d'Elastic Load Balancing* [: politiques de sécurité pour les équilibreurs de charge d'application, politiques de sécurité pour les équilibreurs](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html) [de charge réseau](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html), [mise à jour d'un écouteur HTTPS pour votre Application Load Balancer et [Mettre à jour un écouteur pour votre](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html) Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html).
## [ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::Listener`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'écouteur d'un Application Load Balancer ou d'un Network Load Balancer est configuré pour utiliser un protocole sécurisé pour le chiffrement des données en transit. Le contrôle échoue si un écouteur Application Load Balancer n'est pas configuré pour utiliser le protocole HTTPS ou si aucun écouteur Network Load Balancer n'est configuré pour utiliser le protocole TLS.
Pour chiffrer les données transmises entre un client et un équilibreur de charge, les écouteurs Elastic Load Balancer doivent être configurés de manière à utiliser les protocoles de sécurité standard du secteur : HTTPS pour les équilibreurs de charge d'application ou TLS pour les équilibreurs de charge réseau. Dans le cas contraire, les données transmises entre un client et un équilibreur de charge sont vulnérables à l'interception, à la falsification et à l'accès non autorisé. L'utilisation du protocole HTTPS ou du protocole TLS par un auditeur est conforme aux meilleures pratiques en matière de sécurité et contribue à garantir la confidentialité et l'intégrité des données lors de leur transmission. Cela est particulièrement important pour les applications qui traitent des informations sensibles ou qui doivent se conformer aux normes de sécurité qui exigent le chiffrement des données en transit.
### Correction
Pour plus d'informations sur la configuration des protocoles de sécurité pour les écouteurs, consultez les sections suivantes des *guides de l'utilisateur d'Elastic Load Balancing* : [créer un écouteur HTTPS pour votre Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) Balancer [et créer un écouteur pour votre Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html) Balancer.
## [ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le groupe cible pour les contrôles de santé des applications et des équilibreurs de charge réseau utilise un protocole de transport crypté. Le contrôle échoue si le protocole de vérification de l'état n'utilise pas le protocole HTTPS. Ce contrôle n'est pas applicable aux types de cibles Lambda.
Les équilibreurs de charge envoient des demandes de contrôle de santé aux cibles enregistrées afin de déterminer leur statut et d'acheminer le trafic en conséquence. Le protocole de vérification de l'état spécifié dans la configuration du groupe cible détermine la manière dont ces contrôles sont effectués. Lorsque les protocoles de contrôle de santé utilisent des communications non cryptées telles que le protocole HTTP, les demandes et les réponses peuvent être interceptées ou manipulées pendant la transmission. Cela permet aux attaquants d'obtenir des informations sur la configuration de l'infrastructure, d'altérer les résultats des bilans de santé ou de mener des man-in-the-middle attaques qui affectent les décisions de routage. L'utilisation du protocole HTTPS pour les bilans de santé fournit une communication cryptée entre l'équilibreur de charge et ses cibles, protégeant ainsi l'intégrité et la confidentialité des informations relatives à l'état de santé.
### Correction
Pour configurer des contrôles de santé chiffrés pour votre groupe cible Application Load Balancer, consultez la section [Mettre à jour les paramètres de contrôle de santé d'un groupe cible Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) dans le guide de l'utilisateur d'*Elastic Load Balancing*. Pour configurer des contrôles de santé chiffrés pour votre groupe cible Network Load Balancer, consultez la section [Mettre à jour les paramètres de contrôle de santé d'un groupe cible Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) dans le guide de l'utilisateur d'*Elastic Load Balancing*.
## [ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe cible Elastic Load Balancing utilise un protocole de transport crypté. Ce contrôle ne s'applique pas aux groupes cibles dotés d'un type de cible Lambda ou ALB, ni aux groupes cibles utilisant le protocole GENEVE. Le contrôle échoue si le groupe cible n'utilise pas le protocole HTTPS, TLS ou QUIC.
Le chiffrement des données en transit les protège contre toute interception par des utilisateurs non autorisés. Les groupes cibles qui utilisent des protocoles non chiffrés (HTTP, TCP, UDP) transmettent des données sans chiffrement, ce qui les rend vulnérables aux écoutes. L'utilisation de protocoles cryptés (HTTPS, TLS, QUIC) garantit la protection des données transmises entre les équilibreurs de charge et les cibles.
### Correction
Pour utiliser un protocole chiffré, vous devez créer un nouveau groupe cible avec le protocole HTTPS, TLS ou QUIC. Le protocole du groupe cible ne peut pas être modifié après sa création. Pour créer un groupe cible Application Load Balancer, consultez la section [Création d'un groupe cible pour votre Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) Balancer dans le guide de l'utilisateur d'*Elastic Load Balancing*. Pour créer un groupe cible Network Load Balancer, consultez la section [Créer un groupe cible pour votre Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) Balancer dans le guide de l'utilisateur d'*Elastic Load Balancing*.
# Security Hub CSPM pour Elasticsearch
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Elasticsearch.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
**Exigences associées :** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé.
Pour renforcer la sécurité de vos données sensibles OpenSearch, vous devez les configurer pour qu'elles soient chiffrées au repos. OpenSearch Les domaines Elasticsearch permettent de chiffrer les données au repos. Cette fonctionnalité permet AWS KMS de stocker et de gérer vos clés de chiffrement. Pour effectuer le chiffrement, elle utilise l'algorithme Advanced Encryption Standard avec des clés 256 bits (AES-256).
Pour en savoir plus sur le OpenSearch chiffrement au repos, consultez la section [Chiffrement des données au repos pour Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
Certains types d'instances, tels que `t.small` et`t.medium`, ne prennent pas en charge le chiffrement des données au repos. Pour plus de détails, consultez la section [Types d'instances pris en charge](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
### Correction
Pour activer le chiffrement au repos pour les domaines Elasticsearch nouveaux et existants, consultez la section [Activation du chiffrement des données au repos dans le manuel](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) *Amazon OpenSearch Service Developer Guide*.
## [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Critique
**Type de ressource :** `AWS::Elasticsearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un VPC. Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Consultez les [politiques basées sur les ressources](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) dans le manuel *Amazon OpenSearch Service Developer Guide*. Vous devez également garantir que votre VPC est configuré conformément aux bonnes pratiques recommandées. Consultez les [meilleures pratiques de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) dans le guide de l'utilisateur Amazon *VPC*.
Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le AWS réseau privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. VPCs fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité. Security Hub CSPM vous recommande de migrer les domaines Elasticsearch publics vers afin de tirer parti VPCs de ces contrôles.
### Correction
Si vous créez un domaine avec un point de terminaison public, vous ne pouvez pas ultérieurement le placer au sein d'un VPC. Au lieu de cela, vous devez créer un nouveau domaine et migrer vos données. L’inverse est également vrai. Si vous créez un domaine dans un VPC, il ne peut pas avoir de point de terminaison public. Au lieu de cela, vous devez [créer un autre domaine](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) ou désactiver ce contrôle.
Consultez la section [Lancement de vos domaines Amazon OpenSearch Service au sein d'un VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
**Exigences associées :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le node-to-node chiffrement est activé dans un domaine Elasticsearch. Le contrôle échoue si le node-to-node chiffrement n'est pas activé dans le domaine Elasticsearch. Le contrôle produit également des résultats erronés si une version d'Elasticsearch ne prend pas en charge les contrôles de node-to-node chiffrement.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant des attaques similaires. person-in-the-middle Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du node-to-node chiffrement pour les domaines Elasticsearch garantit que les communications intra-cluster sont chiffrées en transit.
Cette configuration peut entraîner une baisse des performances. Vous devez connaître le compromis entre les performances et le tester avant d'activer cette option.
### Correction
Pour plus d'informations sur l'activation du node-to-node chiffrement sur les domaines nouveaux et existants, consultez la section [Activation du node-to-node chiffrement](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `logtype = 'error'`(non personnalisable)
Ce contrôle vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d'erreurs à CloudWatch Logs.
Vous devez activer les journaux d'erreurs pour les domaines Elasticsearch et les envoyer à CloudWatch Logs pour qu'ils soient conservés et répondus. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
### Correction
Pour plus d'informations sur la façon d'activer la publication de journaux, consultez la section [Activation de la publication de journaux (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `elasticsearch-audit-logging-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `cloudWatchLogsLogGroupArnList`(non personnalisable). Security Hub CSPM ne renseigne pas ce paramètre. Liste séparée par des CloudWatch virgules des groupes de journaux qui doivent être configurés pour les journaux d'audit.
Cette règle s'applique `NON_COMPLIANT` si le groupe de CloudWatch journaux du domaine Elasticsearch n'est pas spécifié dans cette liste de paramètres.
Ce contrôle vérifie si la journalisation des audits est activée dans les domaines Elasticsearch. Ce contrôle échoue si la journalisation des audits n'est pas activée dans un domaine Elasticsearch.
Les journaux d'audit sont hautement personnalisables. Ils vous permettent de suivre l'activité des utilisateurs sur vos clusters Elasticsearch, notamment les réussites et les échecs d'authentification, les demandes, les modifications d' OpenSearchindex et les requêtes de recherche entrantes.
### Correction
Pour obtenir des instructions détaillées sur l'activation des journaux d'audit, consultez la section [Activation des journaux d'audit](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `elasticsearch-data-node-fault-tolerance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds de données et `zoneAwarenessEnabled` s'ils le sont. `true`
Un domaine Elasticsearch nécessite au moins trois nœuds de données pour garantir une haute disponibilité et une tolérance aux pannes. Le déploiement d'un domaine Elasticsearch avec au moins trois nœuds de données garantit les opérations du cluster en cas de défaillance d'un nœud.
### Correction
**Pour modifier le nombre de nœuds de données dans un domaine Elasticsearch**
1. Ouvrez la console Amazon OpenSearch Service à l'adresse [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Sous **Domaines**, choisissez le nom du domaine que vous souhaitez modifier.
1. Choisissez **Edit domain (Modifier le domaine)**.
1. Sous **Nœuds de données**, définissez **Nombre de nœuds** sur un nombre supérieur ou égal à`3`.
Pour trois déploiements de zones de disponibilité, définissez un multiple de trois afin de garantir une distribution égale entre les zones de disponibilité.
1. Sélectionnez **Soumettre**.
## [ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `elasticsearch-primary-node-fault-tolerance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds principaux dédiés. Ce contrôle échoue si le domaine n'utilise pas de nœuds principaux dédiés. Ce contrôle est effectué si les domaines Elasticsearch disposent de cinq nœuds principaux dédiés. Cependant, l'utilisation de plus de trois nœuds principaux peut s'avérer inutile pour atténuer le risque de disponibilité, ce qui entraînera des coûts supplémentaires.
Un domaine Elasticsearch nécessite au moins trois nœuds principaux dédiés pour garantir une haute disponibilité et une tolérance aux pannes. Les ressources des nœuds principaux dédiés peuvent être mises à rude épreuve lors des blue/green déploiements de nœuds de données, car il existe des nœuds supplémentaires à gérer. Le déploiement d'un domaine Elasticsearch avec au moins trois nœuds principaux dédiés garantit une capacité de ressources suffisante du nœud principal et des opérations de cluster en cas de défaillance d'un nœud.
### Correction
**Pour modifier le nombre de nœuds principaux dédiés dans un OpenSearch domaine**
1. Ouvrez la console Amazon OpenSearch Service à l'adresse [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Sous **Domaines**, choisissez le nom du domaine que vous souhaitez modifier.
1. Choisissez **Edit domain (Modifier le domaine)**.
1. Sous **Nœuds maîtres dédiés**, définissez le **type d'instance** sur le type d'instance souhaité.
1. Définissez **le nombre de nœuds maîtres** égal ou supérieur à trois.
1. Sélectionnez **Soumettre**.
## [ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `elasticsearch-https-required` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cela permet de vérifier si un point de terminaison de domaine Elasticsearch est configuré pour utiliser la dernière politique de sécurité TLS. Le contrôle échoue si le point de terminaison du domaine Elasticsearch n'est pas configuré pour utiliser la dernière politique prise en charge ou s'il HTTPs n'est pas activé. La dernière politique de sécurité TLS actuellement prise en charge est`Policy-Min-TLS-1-2-PFS-2023-10`.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS. TLS 1.2 apporte plusieurs améliorations de sécurité par rapport aux versions précédentes de TLS.
### Correction
Pour activer le chiffrement TLS, utilisez l'opération [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API pour configurer l'[https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)objet. Cela définit le`TLSSecurityPolicy`.
## [ES.9] Les domaines Elasticsearch doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Elasticsearch::Domain`
**AWS Config règle :** `tagged-elasticsearch-domain` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un domaine Elasticsearch possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le domaine ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le domaine n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un domaine Elasticsearch, consultez la section [Utilisation des balises](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) dans le manuel *Amazon OpenSearch Service Developer Guide*.
# Contrôles Security Hub CSPM pour Amazon EMR
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon EMR (anciennement Amazon Elastic MapReduce). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1, (7), (21), (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EMR::Cluster`
**AWS Config règle : emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les nœuds maîtres des clusters Amazon EMR possèdent des adresses IP publiques. Le contrôle échoue si des adresses IP publiques sont associées à l'une des instances du nœud maître.
Les adresses IP publiques sont désignées dans le `PublicIp` champ de `NetworkInterfaces` configuration de l'instance. Ce contrôle vérifie uniquement les clusters Amazon EMR qui sont à l'état `RUNNING` or`WAITING`.
### Correction
Lors du lancement, vous pouvez contrôler si une adresse publique IPv4 est attribuée à votre instance dans un sous-réseau par défaut ou non par défaut. Par défaut, cet attribut est défini sur les sous-réseaux par défaut. `true` Les sous-réseaux autres que ceux par défaut ont l'attribut d'adressage IPv4 public défini sur`false`, sauf s'il a été créé par l'assistant d'instance de EC2 lancement d'Amazon. Dans ce cas, l'attribut est défini sur`true`.
Après le lancement, vous ne pouvez pas dissocier manuellement une IPv4 adresse publique de votre instance.
Pour remédier à un échec de détection, vous devez lancer un nouveau cluster dans un VPC avec un sous-réseau privé dont l'attribut d'adressage public est IPv4 défini sur. `false` Pour obtenir des instructions, consultez la section [Lancer des clusters dans un VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) dans le guide de gestion Amazon *EMR.*
## [EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
**Exigences associées :** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si votre compte est configuré pour bloquer l'accès public à Amazon EMR. Le contrôle échoue si le paramètre de blocage de l'accès public n'est pas activé ou si un port autre que le port 22 est autorisé.
Le blocage de l'accès public par Amazon EMR vous empêche de lancer un cluster dans un sous-réseau public si le cluster possède une configuration de sécurité qui autorise le trafic entrant depuis des adresses IP publiques sur un port. Lorsqu'un utilisateur de votre Compte AWS lance un cluster, Amazon EMR vérifie les règles de port du groupe de sécurité du cluster et les compare à vos règles de trafic entrant. Si le groupe de sécurité dispose d'une règle entrante qui ouvre des ports aux adresses IP publiques IPv4 0.0.0.0/0 ou IPv6 : :/0, et que ces ports ne sont pas spécifiés comme des exceptions pour votre compte, Amazon EMR n'autorise pas l'utilisateur à créer le cluster.
**Note**
Le blocage de l'accès public est activé par défaut. Pour améliorer la protection du compte, nous vous recommandons de le laisser activé.
### Correction
Pour configurer le blocage de l'accès public pour Amazon EMR, consultez la section Utilisation de l'accès [public bloqué par Amazon EMR dans le guide de gestion](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) Amazon *EMR*.
## [EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EMR::SecurityConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement au repos est activé dans une configuration de sécurité Amazon EMR. Le contrôle échoue si la configuration de sécurité n'active pas le chiffrement au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour activer le chiffrement au repos dans une configuration de sécurité Amazon EMR, consultez la section [Configurer le chiffrement des données dans le](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) guide de gestion Amazon *EMR.*
## [EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::EMR::SecurityConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement en transit est activé dans une configuration de sécurité Amazon EMR. Le contrôle échoue si la configuration de sécurité n'active pas le chiffrement en transit.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
Pour activer le chiffrement en transit dans une configuration de sécurité Amazon EMR, consultez la section [Configurer le chiffrement des données dans le](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) guide de gestion Amazon *EMR.*
# Contrôles Security Hub CSPM pour EventBridge
Ces AWS Security Hub CSPM contrôles évaluent le EventBridge service et les ressources Amazon.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Events::EventBus`
**AWS Config règle :** `tagged-events-eventbus` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un bus d' EventBridge événements Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le bus d'événements ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le bus d'événements n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un bus d' EventBridge événements, consultez les [ EventBridge balises Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) dans le *guide de EventBridge l'utilisateur Amazon*.
## [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources
**Exigences associées :** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7),,, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité : ** Faible
**Type de ressource :** `AWS::Events::EventBus`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un bus d'événements EventBridge personnalisé Amazon est associé à une politique basée sur les ressources. Ce contrôle échoue si le bus d'événements personnalisé n'a pas de politique basée sur les ressources.
Par défaut, aucune politique basée sur les ressources n'est attachée à un bus d'événements EventBridge personnalisé. Cela permet aux principaux associés au compte d'accéder au bus d'événements. En associant une politique basée sur les ressources au bus d'événements, vous pouvez limiter l'accès au bus d'événements à des comptes spécifiques, ainsi qu'accorder intentionnellement l'accès aux entités d'un autre compte.
### Correction
*Pour associer une politique basée sur les ressources à un bus d'événements EventBridge personnalisé, consultez la section [Utilisation de politiques basées sur les ressources pour Amazon dans EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) le guide de l'utilisateur Amazon. EventBridge *
## [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Events::Endpoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la réplication des événements est activée pour un point de terminaison EventBridge mondial Amazon. Le contrôle échoue si la réplication des événements n'est pas activée pour un point de terminaison global.
Les points de terminaison mondiaux contribuent à rendre votre application tolérante aux pannes régionales. Pour commencer, affectez une surveillance d’état Amazon Route 53 au point de terminaison. Lorsque le basculement est lancé, le bilan de santé indique un état « non fonctionnel ». Quelques minutes après le lancement du basculement, tous les événements personnalisés sont routés vers un bus d’événements dans la région secondaire et sont traités par ce bus d’événements. Lorsque vous utilisez des points de terminaison globaux, vous pouvez activer la réplication d’événements. La réplication d’événements envoie tous les événements personnalisés aux bus d’événements des régions principale et secondaire à l’aide de règles gérées. Nous recommandons d'activer la réplication des événements lors de la configuration des points de terminaison globaux. La réplication d’événements vous permet de vérifier que vos points de terminaison globaux sont correctement configurés. La réplication des événements est requise pour effectuer une récupération automatique suite à un événement de basculement. Si la réplication des événements n'est pas activée, vous devrez réinitialiser manuellement le bilan de santé de Route 53 sur « sain » avant que les événements ne soient redirigés vers la région principale.
**Note**
Si vous utilisez des bus d'événements personnalisés, vous aurez besoin d'un bus pair personnalisé dans chaque région portant le même nom et le même compte pour que le basculement fonctionne correctement. L'activation de la réplication des événements peut augmenter vos coûts mensuels. Pour plus d'informations sur les tarifs, consultez [ EventBridge les tarifs Amazon](https://aws.amazon.com/eventbridge/pricing/).
### Correction
Pour activer la réplication d'événements pour les points de terminaison EventBridge globaux, consultez la section [Créer un point de terminaison global](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) dans le *guide de EventBridge l'utilisateur Amazon*. Pour **Réplication d'événements**, sélectionnez **Réplication d'événements activée**.
# Contrôles Security Hub CSPM pour Amazon Fraud Detector
Ces contrôles CSPM du Security Hub évaluent le service et les ressources d'Amazon Fraud Detector.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FraudDetector::EntityType`
**Règle AWS Config :** `frauddetector-entity-type-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un type d'entité Amazon Fraud Detector possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le type d'entité ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le type d'entité n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
**Pour ajouter des balises à un type d'entité Amazon Fraud Detector (console)**
1. Ouvrez la console Amazon Fraud Detector à l'adresse [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. Dans le volet de navigation, sélectionnez **Entities**.
1. Sélectionnez un type d'entité dans la liste.
1. Dans la section des **balises de type d'entité**, choisissez **Gérer les balises**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FraudDetector::Label`
**Règle AWS Config :** `frauddetector-label-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une étiquette Amazon Fraud Detector comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'étiquette ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'étiquette n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
**Pour ajouter des tags à une étiquette Amazon Fraud Detector (console)**
1. Ouvrez la console Amazon Fraud Detector à l'adresse [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. Dans le volet de navigation, sélectionnez **Labels**.
1. Sélectionnez une étiquette dans la liste.
1. Dans la section **des étiquettes**, choisissez **Gérer les balises**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FraudDetector::Outcome`
**Règle AWS Config :** `frauddetector-outcome-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si le résultat d'Amazon Fraud Detector comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le résultat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le résultat n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
**Pour ajouter des balises à un résultat d'Amazon Fraud Detector (console)**
1. Ouvrez la console Amazon Fraud Detector à l'adresse [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. Dans le volet de navigation, sélectionnez **Outcomes**.
1. Sélectionnez un résultat dans la liste.
1. Dans la section **des balises de résultats**, choisissez **Gérer les balises**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
## [FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FraudDetector::Variable`
**Règle AWS Config :** `frauddetector-variable-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une variable Amazon Fraud Detector possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la variable ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la variable n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
**Pour ajouter des balises à une variable Amazon Fraud Detector (console)**
1. Ouvrez la console Amazon Fraud Detector à l'adresse [https://console.aws.amazon.com/frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. Dans le volet de navigation, sélectionnez **Variables**.
1. Sélectionnez une variable dans la liste.
1. Dans la section **des balises de variables**, choisissez **Gérer les balises**.
1. Sélectionnez **Ajouter une nouvelle balise**. Entrez la clé et la valeur de la balise. Répétez l'opération pour d'autres paires clé-valeur.
1. Lorsque vous avez terminé d’ajouter des balises, choisissez **Enregistrer**.
# Contrôles Security Hub CSPM pour Amazon FSx
Ces AWS Security Hub CSPM contrôles évaluent le FSx service et les ressources Amazon. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un système de fichiers Amazon FSx pour OpenZFS est configuré pour copier des balises vers des sauvegardes et des volumes. Le contrôle échoue si le système de fichiers OpenZFS n'est pas configuré pour copier les balises vers les sauvegardes et les volumes.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect important de la gouvernance et de la sécurité. Les balises vous permettent de classer vos AWS ressources de différentes manières, par exemple par objectif, propriétaire ou environnement. Cela est utile lorsque vous disposez de nombreuses ressources du même type, car vous pouvez identifier rapidement une ressource spécifique en fonction des balises que vous lui avez attribuées.
### Correction
Pour plus d'informations sur la configuration d'un système de fichiers FSx pour OpenZFS afin de copier des balises vers des sauvegardes et des volumes, consultez la section [Mise à jour d'un système de fichiers](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) dans le guide de l'utilisateur *Amazon FSx pour OpenZFS*.
## [FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes
**Exigences connexes :** NIST.800-53.R5 CP-9, NIST.800-53.R5 CM-8
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un système de fichiers Amazon FSx for Lustre est configuré pour copier des balises vers des sauvegardes et des volumes. Le contrôle échoue si le système de fichiers Lustre n'est pas configuré pour copier les balises vers les sauvegardes et les volumes.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect important de la gouvernance et de la sécurité. Les balises vous permettent de classer vos AWS ressources de différentes manières, par exemple par objectif, propriétaire ou environnement. Cela est utile lorsque vous disposez de nombreuses ressources du même type, car vous pouvez identifier rapidement une ressource spécifique en fonction des balises que vous lui avez attribuées.
### Correction
Pour plus d'informations sur la configuration d'un système de fichiers FSx pour Lustre afin de copier des balises vers des sauvegardes, consultez [la section Copier des sauvegardes dans le même](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html) système de fichiers Compte AWS dans le *guide de l'utilisateur d'Amazon FSx for Lustre*.
## [FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)
**Type de calendrier :** Périodique
**Paramètres :** `deploymentTypes: MULTI_AZ_1` (non personnalisable)
Ce contrôle vérifie si un système de fichiers Amazon FSx pour OpenZFS est configuré pour utiliser le type de déploiement à zones de disponibilité multiples (Multi-AZ). Le contrôle échoue si le système de fichiers n'est pas configuré pour utiliser le type de déploiement multi-AZ.
Amazon FSx pour OpenZFS prend en charge plusieurs types de déploiement pour les systèmes de fichiers : *multi-AZ (HA)*, *mono-AZ (HA) et *mono-AZ* (non-HA)*. Les types de déploiement offrent différents niveaux de disponibilité et de durabilité. Les systèmes de fichiers Multi-AZ (HA) sont composés d'une paire de serveurs de fichiers à haute disponibilité (HA) répartis sur deux zones de disponibilité ()AZs. Nous recommandons d'utiliser le type de déploiement Multi-AZ (HA) pour la plupart des charges de travail de production en raison de son modèle de haute disponibilité et de durabilité.
### Correction
Vous pouvez configurer un système de fichiers Amazon FSx pour OpenZFS afin d'utiliser le type de déploiement multi-AZ lorsque vous créez le système de fichiers. Vous ne pouvez pas modifier le type de déploiement d'un système de fichiers existant FSx pour OpenZFS.
Pour plus d'informations sur les types de déploiement et les options FSx pour les systèmes de fichiers OpenZFS, consultez les sections [Disponibilité et durabilité d'Amazon FSx pour OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) et [Gestion des ressources du système de fichiers dans le guide de l'utilisateur](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) *Amazon FSx pour* OpenZFS.
## [FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `deploymentTypes` | Liste des types de déploiement à inclure dans l'évaluation. Le contrôle génère une `FAILED` recherche si un système de fichiers n'est pas configuré pour utiliser un type de déploiement spécifié dans la liste. | Enum | `MULTI_AZ_1`, `MULTI_AZ_2` | `MULTI_AZ_1`, `MULTI_AZ_2` |
Ce contrôle vérifie si un système de fichiers Amazon FSx for NetApp ONTAP est configuré pour utiliser un type de déploiement multi-zones de disponibilité (multi-AZ). Le contrôle échoue si le système de fichiers n'est pas configuré pour utiliser un type de déploiement multi-AZ. Vous pouvez éventuellement spécifier une liste de types de déploiement à inclure dans l'évaluation.
*Amazon FSx for NetApp ONTAP prend en charge plusieurs types de déploiement pour les systèmes de fichiers : *mono-AZ 1*, *mono-AZ 2*, *Multi-AZ 1 et Multi-AZ* 2.* Les types de déploiement offrent différents niveaux de disponibilité et de durabilité. Nous recommandons d'utiliser un type de déploiement multi-AZ pour la plupart des charges de travail de production en raison du modèle de haute disponibilité et de durabilité proposé par les types de déploiement multi-AZ. Les systèmes de fichiers multi-AZ prennent en charge toutes les fonctionnalités de disponibilité et de durabilité des systèmes de fichiers mono-AZ. En outre, ils sont conçus pour garantir la disponibilité continue des données même lorsqu'une zone de disponibilité (AZ) n'est pas disponible.
### Correction
Vous ne pouvez pas modifier le type de déploiement d'un système de fichiers Amazon FSx for NetApp ONTAP existant. Toutefois, vous pouvez sauvegarder les données, puis les restaurer sur un nouveau système de fichiers utilisant un type de déploiement multi-AZ.
Pour plus d'informations sur les types de déploiement et les options FSx pour les systèmes de fichiers ONTAP, voir [Disponibilité, durabilité et options de déploiement et](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) [Gestion des systèmes de fichiers](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) dans le Guide de l'*utilisateur FSx pour ONTAP*.
## [FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::FSx::FileSystem`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)
**Type de calendrier :** Périodique
**Paramètres :** `deploymentTypes: MULTI_AZ_1` (non personnalisable)
Ce contrôle vérifie si un système de fichiers Amazon FSx pour Windows File Server est configuré pour utiliser le type de déploiement à zones de disponibilité multiples (Multi-AZ). Le contrôle échoue si le système de fichiers n'est pas configuré pour utiliser le type de déploiement multi-AZ.
Amazon FSx pour Windows File Server prend en charge deux types de déploiement pour les systèmes de fichiers : *mono-AZ* et *multi-AZ*. Les types de déploiement offrent différents niveaux de disponibilité et de durabilité. Les systèmes de fichiers mono-AZ sont composés d'une seule instance de serveur de fichiers Windows et d'un ensemble de volumes de stockage au sein d'une seule zone de disponibilité (AZ). Les systèmes de fichiers multi-AZ sont composés d'un cluster à haute disponibilité de serveurs de fichiers Windows répartis sur deux zones de disponibilité. Nous recommandons d'utiliser le type de déploiement multi-AZ pour la plupart des charges de travail de production en raison du modèle de haute disponibilité et de durabilité qu'il propose.
### Correction
Vous pouvez configurer un système de fichiers Amazon FSx pour Windows File Server afin d'utiliser le type de déploiement multi-AZ lorsque vous créez le système de fichiers. Vous ne pouvez pas modifier le type de déploiement d'un système de fichiers existant FSx pour Windows File Server.
Pour plus d'informations sur les types et options de déploiement FSx pour les systèmes de fichiers Windows File Server, consultez [Disponibilité et durabilité : systèmes de fichiers mono-AZ et Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) et [Getting started with Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) dans le guide de *l'utilisateur Amazon FSx pour Windows File Server*.
# Contrôles Security Hub CSPM pour Global Accelerator
Ces AWS Security Hub CSPM contrôles évaluent le AWS Global Accelerator service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::GlobalAccelerator::Accelerator`
**AWS Config règle :** `tagged-globalaccelerator-accelerator` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS Global Accelerator accélérateur possède des balises avec les touches spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'accélérateur ne possède aucune clé de balise ou s'il ne possède pas toutes les touches spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'accélérateur n'est marqué par aucune touche. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un accélérateur global Global Accelerator, voir la section [Marquage AWS Global Accelerator dans](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html) le *guide du AWS Global Accelerator développeur*.
# Contrôles Security Hub CSPM pour AWS Glue
Ces AWS Security Hub CSPM contrôles évaluent le AWS Glue service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Glue.1] les AWS Glue tâches doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Glue::Job`
**AWS Config règle :** `tagged-glue-job` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS Glue tâche possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la tâche ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une AWS Glue tâche, consultez les [AWS balises AWS Glue dans](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) le *guide de AWS Glue l'utilisateur*.
## [Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Glue::MLTransform`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Non
Ce contrôle vérifie si une transformation de AWS Glue machine learning est chiffrée au repos. Le contrôle échoue si la transformation de machine learning n'est pas chiffrée au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour configurer le chiffrement pour les transformations de AWS Glue machine learning, consultez la section [Utilisation des transformations de machine learning](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) dans le *guide de AWS Glue l'utilisateur*.
## [Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::Glue::Job`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)
**Type de calendrier :** changement déclenché
**Paramètres `minimumSupportedGlueVersion` :** `3.0` (non personnalisable)
Ce contrôle vérifie si une tâche AWS Glue for Spark est configurée pour s'exécuter sur une version prise en charge de AWS Glue. Le contrôle échoue si le job Spark est configuré pour s'exécuter sur une version antérieure à la version minimale prise en charge. AWS Glue
**Note**
Ce contrôle génère également une `FAILED` recherche pour une tâche AWS Glue for Spark si la propriété AWS Glue version (`GlueVersion`) n'existe pas ou est nulle dans l'élément de configuration (CI) de la tâche. Dans de tels cas, le résultat inclut l'annotation suivante :`GlueVersion is null or missing in glueetl job configuration`. Pour résoudre ce type de `FAILED` recherche, ajoutez la `GlueVersion` propriété à la configuration de la tâche. Pour obtenir la liste des versions et des environnements d'exécution pris en charge, consultez la section [AWS Glue Versions](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) du *guide de AWS Glue l'utilisateur*.
L'exécution de tâches AWS Glue Spark sur les versions actuelles de AWS Glue permet d'optimiser les performances, la sécurité et l'accès aux dernières fonctionnalités de AWS Glue. Cela peut également aider à se prémunir contre les failles de sécurité. Par exemple, une nouvelle version peut être publiée pour fournir des mises à jour de sécurité, résoudre des problèmes ou introduire de nouvelles fonctionnalités.
### Correction
Pour plus d'informations sur la migration d'une tâche Spark vers une version compatible de AWS Glue, consultez la section [Migration AWS Glue pour les tâches Spark](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) dans le guide de l'*AWS Glue utilisateur*.
# Contrôles Security Hub CSPM pour Amazon GuardDuty
Ces AWS Security Hub CSPM contrôles évaluent le GuardDuty service et les ressources Amazon. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [GuardDuty.1] GuardDuty doit être activé
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), NIST.800-53.r5 SA-1 5 (2), 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-20, NIST.800-53.r5 SA-8 NIST.800-53.R5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.r5 SA-8 NIST.800-53.R5 SI-4 NIST.800-53.r5 SC-5, NIST.800-53.R5 NIST.800-53.r5 SC-5 NIST.800-53.r5 SC-5 (1), NIST.800-53.R5 SI-4 (13), NIST.800-53.R5 SI-4 (2), NIST.800-53.R5 SI-4 (22), NIST.800-53.R5 SI-4 (25), NIST.800-53.R5 SI-4 (4), NIST.800-53.R5 SI-4 (5), NIST.800-171.R2 3.4.2, NIST.800-171.R2 3.4.2, NIST.800-53.R5 800-171.R2 3.14.6, NIST.800-171.R2 3.14.7, PCI DSS v3.2.1/11.4 , PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si Amazon GuardDuty est activé dans votre GuardDuty compte et dans votre région.
Il est vivement recommandé de l'activer GuardDuty dans toutes les AWS régions prises en charge. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Cela permet également GuardDuty de surveiller CloudTrail des événements globaux Services AWS tels que IAM.
### Correction
Pour l'activer GuardDuty, consultez [Getting Started with GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.2] GuardDuty les filtres doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::GuardDuty::Filter`
**AWS Config règle :** `tagged-guardduty-filter` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un GuardDuty filtre Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le filtre ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le filtre n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un GuardDuty filtre, consultez [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)le *Amazon GuardDuty API Reference*.
## [GuardDuty.3] GuardDuty IPSets doit être étiqueté
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::GuardDuty::IPSet`
**AWS Config règle :** `tagged-guardduty-ipset` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un Amazon GuardDuty IPSet possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue s'il IPSet ne possède aucune clé de balise ou s'il n'a pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si elle IPSet n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un GuardDuty IPSet, consultez [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)le *Amazon GuardDuty API Reference*.
## [GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::GuardDuty::Detector`
**AWS Config règle :** `tagged-guardduty-detector` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un GuardDuty détecteur Amazon possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le détecteur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le détecteur n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un GuardDuty détecteur, consultez [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)le *Amazon GuardDuty API Reference*.
## [GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la surveillance du journal d'audit GuardDuty EKS est activée. Pour un compte autonome, le contrôle échoue si la surveillance du journal d'audit GuardDuty EKS est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le compte GuardDuty administrateur délégué et tous les comptes membres n'ont pas activé la surveillance du journal d'audit EKS.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de surveillance du journal d'audit EKS pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel le suivi du journal d'audit GuardDuty EKS n'est pas activé. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty La surveillance du journal d'audit EKS vous aide à détecter les activités potentiellement suspectes dans vos clusters Amazon Elastic Kubernetes Service (Amazon EKS). La surveillance des journaux d'audit EKS utilise les journaux d'audit Kubernetes pour capturer les activités chronologiques des utilisateurs, des applications utilisant l'API Kubernetes et du plan de contrôle.
### Correction
Pour activer la surveillance du journal d'audit GuardDuty [EKS, consultez la section Surveillance du journal d'audit EKS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.6] La protection GuardDuty Lambda doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la protection GuardDuty Lambda est activée. Pour un compte autonome, le contrôle échoue si la protection GuardDuty Lambda est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection Lambda n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection Lambda pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu sur lequel la protection GuardDuty Lambda n'est pas activée. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty La protection Lambda vous aide à identifier les menaces de sécurité potentielles lorsqu'une AWS Lambda fonction est invoquée. Après avoir activé la protection Lambda, GuardDuty commence à surveiller les journaux d'activité du réseau Lambda associés aux fonctions Lambda de votre. Compte AWS Lorsqu'une fonction Lambda est invoquée et GuardDuty identifie un trafic réseau suspect indiquant la présence d'un code potentiellement malveillant dans votre fonction Lambda, GuardDuty elle génère un résultat.
### Correction
*Pour activer la protection GuardDuty Lambda, consultez la section Configuration de la protection [Lambda dans](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) le guide de l'utilisateur Amazon. GuardDuty *
## [GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter > Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la surveillance du temps d'exécution GuardDuty EKS avec gestion automatisée des agents est activée. Pour un compte autonome, le contrôle échoue si GuardDuty EKS Runtime Monitoring avec gestion automatisée des agents est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le compte GuardDuty administrateur délégué et tous les comptes membres ne disposent pas d'EKS Runtime Monitoring avec gestion automatique des agents activée.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité EKS Runtime Monitoring avec gestion automatique des agents pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel GuardDuty EKS Runtime Monitoring n'est pas activé. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
La protection EKS d'Amazon GuardDuty fournit une couverture de détection des menaces pour vous aider à protéger les clusters Amazon EKS au sein de votre AWS environnement. EKS Runtime Monitoring utilise des événements au niveau du système d'exploitation pour vous aider à détecter les menaces potentielles dans les nœuds et les conteneurs EKS au sein de vos clusters EKS.
### Correction
Pour activer EKS Runtime Monitoring avec la gestion automatisée des agents, consultez la section [Enabling GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les GuardDuty programmes malveillants est activée. Pour un compte autonome, le contrôle échoue si la protection contre les GuardDuty programmes malveillants est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection contre les programmes malveillants n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection contre les programmes malveillants pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué possède un compte de membre suspendu pour lequel la protection contre les GuardDuty programmes malveillants n'est pas activée. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty Malware Protection for EC2 vous aide à détecter la présence potentielle de malwares en analysant les volumes Amazon Elastic Block Store (Amazon EBS) attachés aux instances et aux charges de travail des conteneurs Amazon Elastic Compute Cloud (Amazon EC2). Malware Protection propose des options d'analyse qui vous permettent de décider si vous souhaitez inclure ou exclure des instances EC2 et des charges de travail de conteneur spécifiques au moment de l'analyse. Il offre également la possibilité de conserver les instantanés des volumes EBS attachés aux instances EC2 ou aux charges de travail des conteneurs dans vos comptes. GuardDuty Les instantanés ne sont retenus que lorsqu'un logiciel malveillant est détecté et que des résultats de protection contre les logiciels malveillants sont générés.
### Correction
Pour activer la protection contre les GuardDuty programmes malveillants pour EC2, consultez la [section Configuration de l'analyse des programmes malveillants GuardDuty initiée](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) dans le guide de * GuardDuty l'utilisateur Amazon*.
## [GuardDuty.9] La protection GuardDuty RDS doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la protection GuardDuty RDS est activée. Pour un compte autonome, le contrôle échoue si la protection GuardDuty RDS est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection RDS n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection RDS pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel la protection GuardDuty RDS n'est pas activée. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
RDS Protection GuardDuty analyse et établit le profil de l'activité de connexion RDS pour détecter les menaces d'accès potentielles à vos bases de données Amazon Aurora (édition compatible Aurora MySQL et édition compatible Aurora PostgreSQL). Cette fonctionnalité vous permet d'identifier les comportements de connexion potentiellement suspects. La protection RDS ne nécessite aucune infrastructure supplémentaire ; elle est conçue de manière à ne pas affecter les performances de vos instances de base de données. Lorsque RDS Protection détecte une tentative de connexion potentiellement suspecte ou anormale indiquant une menace pour votre base de données, elle GuardDuty génère une nouvelle découverte contenant des informations sur la base de données potentiellement compromise.
### Correction
Pour activer la protection GuardDuty RDS, consultez GuardDuty la section [Protection](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) du guide de * GuardDuty l'utilisateur Amazon*.
## [GuardDuty.10] La protection GuardDuty S3 doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.5.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la protection GuardDuty S3 est activée. Pour un compte autonome, le contrôle échoue si GuardDuty S3 Protection est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si S3 Protection n'est pas activé sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection S3 pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel GuardDuty S3 Protection n'est pas activé. Pour recevoir une `PASSED` constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
S3 Protection permet GuardDuty de surveiller les opérations d'API au niveau des objets afin d'identifier les risques de sécurité potentiels pour les données contenues dans vos compartiments Amazon Simple Storage Service (Amazon S3). GuardDuty surveille les menaces qui pèsent sur vos ressources S3 en analysant les événements AWS CloudTrail de gestion et les événements liés aux données CloudTrail S3.
### Correction
Pour activer la protection GuardDuty S3, consultez [Amazon S3 Protection dans Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée
**Catégorie :** Détecter > Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le Runtime Monitoring est activé sur Amazon GuardDuty. Pour un compte autonome, le contrôle échoue si la surveillance du temps GuardDuty d'exécution est désactivée pour le compte. Dans un environnement multi-comptes, le contrôle échoue si la surveillance du temps GuardDuty d'exécution est désactivée pour le compte GuardDuty administrateur délégué et pour tous les comptes membres.
Dans un environnement multi-comptes, seul l' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps GuardDuty d'exécution pour les comptes de son organisation. En outre, seul l' GuardDuty administrateur peut configurer et gérer les agents de sécurité GuardDuty utilisés pour la surveillance de l'exécution des AWS charges de travail et des ressources des comptes de l'organisation. GuardDuty les comptes membres ne peuvent pas activer, configurer ou désactiver la surveillance du temps d'exécution pour leurs propres comptes.
GuardDuty Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement. Il utilise des agents GuardDuty de sécurité qui ajoutent de la visibilité sur le comportement d'exécution, tels que l'accès aux fichiers, l'exécution des processus, les arguments de ligne de commande et les connexions réseau. Vous pouvez activer et gérer l'agent de sécurité pour chaque type de ressource que vous souhaitez surveiller pour détecter les menaces potentielles, telles que les clusters Amazon EKS et les instances Amazon EC2.
### Correction
Pour plus d'informations sur la configuration et l'activation de la surveillance du temps GuardDuty d'exécution, consultez la section [Surveillance du temps GuardDuty d' GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)[exécution et activation de la surveillance](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) du temps d'exécution dans le *guide de GuardDuty l'utilisateur Amazon*.
## [GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée
**Catégorie :** Détecter > Services de détection
**Gravité :** Moyenne
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'agent de sécurité GuardDuty automatique Amazon est activé pour la surveillance de l'exécution des clusters Amazon ECS sur AWS Fargate. Pour un compte autonome, le contrôle échoue si l'agent de sécurité est désactivé pour le compte. Dans un environnement multi-comptes, le contrôle échoue si l'agent de sécurité est désactivé pour le compte d' GuardDutyadministrateur délégué et pour tous les comptes de membres.
Dans un environnement multi-comptes, ce contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Cela est dû au fait que seul l' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps d'exécution des ressources ECS-Fargate pour les comptes de son organisation. GuardDuty les comptes des membres ne peuvent pas le faire pour leurs propres comptes. En outre, ce contrôle génère des `FAILED` résultats s'il GuardDuty est suspendu pour un compte membre et si la surveillance du temps d'exécution des ressources ECS-Fargate est désactivée pour le compte membre. Pour recevoir une `PASSED` constatation, l' GuardDuty administrateur doit dissocier le compte du membre suspendu de son compte administrateur en utilisant GuardDuty.
GuardDuty Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement. Il utilise des agents GuardDuty de sécurité qui ajoutent de la visibilité sur le comportement d'exécution, tels que l'accès aux fichiers, l'exécution des processus, les arguments de ligne de commande et les connexions réseau. Vous pouvez activer et gérer l'agent de sécurité pour chaque type de ressource que vous souhaitez surveiller pour détecter les menaces potentielles. Cela inclut les clusters Amazon ECS sur AWS Fargate.
### Correction
Pour activer et gérer l'agent de sécurité pour la surveillance du GuardDuty temps d'exécution des ressources ECS-Fargate, vous devez utiliser directement. GuardDuty Vous ne pouvez pas l'activer ou le gérer manuellement pour les ressources ECS-Fargate. Pour plus d'informations sur l'activation et la gestion de l'agent de sécurité, consultez les sections [Conditions requises pour le support AWS Fargate (Amazon ECS uniquement)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) et [Gestion de l'agent de sécurité automatisé pour AWS Fargate (Amazon ECS uniquement)](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) dans le *guide de l' GuardDuty utilisateur Amazon*.
## [GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée
**Catégorie :** Détecter > Services de détection
**Gravité :** Moyenne
**Type de ressource :** `AWS::GuardDuty::Detector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'agent de sécurité GuardDuty automatique Amazon est activé pour la surveillance de l'exécution des instances Amazon EC2. Pour un compte autonome, le contrôle échoue si l'agent de sécurité est désactivé pour le compte. Dans un environnement multi-comptes, le contrôle échoue si l'agent de sécurité est désactivé pour le compte d' GuardDuty administrateur délégué et pour tous les comptes de membres.
Dans un environnement multi-comptes, ce contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. En effet, seul l' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps d'exécution des instances Amazon EC2 pour les comptes de son organisation. GuardDuty les comptes des membres ne peuvent pas le faire pour leurs propres comptes. En outre, ce contrôle génère des `FAILED` résultats s'il GuardDuty est suspendu pour un compte membre et si la surveillance du temps d'exécution des instances EC2 est désactivée pour le compte membre. Pour recevoir une `PASSED` constatation, l' GuardDuty administrateur doit dissocier le compte du membre suspendu de son compte administrateur en utilisant GuardDuty.
GuardDuty Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement. Il utilise des agents GuardDuty de sécurité qui ajoutent de la visibilité sur le comportement d'exécution, tels que l'accès aux fichiers, l'exécution des processus, les arguments de ligne de commande et les connexions réseau. Vous pouvez activer et gérer l'agent de sécurité pour chaque type de ressource que vous souhaitez surveiller pour détecter les menaces potentielles. Cela inclut les instances Amazon EC2.
### Correction
*Pour plus d'informations sur la configuration et la gestion de l'agent de sécurité automatique pour la surveillance du temps GuardDuty d'exécution des instances EC2, consultez [les sections Conditions préalables à la prise en charge des instances Amazon EC2 et Activation de l'agent de sécurité automatique pour](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [les instances Amazon EC2 dans le guide de l'utilisateur Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html). GuardDuty *
# Contrôles Security Hub CSPM pour Gestion des identités et des accès AWS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Gestion des identités et des accès AWS (IAM). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-2, (7),, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (10), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.R2 3.1.4, NIST.800-53.r5 AC-6 PCI DSS v3.2.1/7.2.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Élevée
**Type de ressource :** `AWS::IAM::Policy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `excludePermissionBoundaryPolicy: true`(non personnalisable)
Ce contrôle vérifie si la version par défaut des politiques IAM (également appelées politiques gérées par le client) dispose d'un accès administrateur en incluant une instruction `"Effect": "Allow"` avec `"Action": "*"` over`"Resource": "*"`. Le contrôle échoue si vous disposez de politiques IAM comportant une telle déclaration.
Le contrôle vérifie uniquement les stratégies gérées par le client que vous créez. Il ne vérifie pas les politiques intégrées et AWS gérées.
Les politiques IAM définissent un ensemble de privilèges accordés aux utilisateurs, aux groupes ou aux rôles. Conformément aux conseils de sécurité standard, il est AWS recommandé d'accorder le moindre privilège, c'est-à-dire de n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Si vous accordez des privilèges d'administrateur complets plutôt qu'un jeu d'autorisations minimal dont l’utilisateur a besoin, les ressources risquent d'être exposées à des actions potentiellement indésirables.
Déterminez quelles tâches doivent accomplir les utilisateurs, puis créez des stratégies pour permettre à ces derniers de réaliser uniquement ces tâches, plutôt que de leur accorder des privilèges d'administrateur complets. Il est plus sûr de commencer avec un minimum d'autorisations et d’en accordez d'autres si nécessaire. Ne commencez pas avec des autorisations trop permissives, pour essayer de les restreindre plus tard.
Vous devez supprimer les politiques IAM comportant une instruction `"Effect": "Allow" ` avec `"Action": "*"` over`"Resource": "*"`.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Pour modifier vos politiques IAM afin qu'elles n'accordent pas tous les privilèges administratifs « \$1 », consultez la section [Modification des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dans le Guide de l'utilisateur *IAM*.
## [IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.14, CIS Foundations Benchmark v3.0.0/1.15, CIS AWS Foundations Benchmark v1.2.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7),, (3), NIST.800-171.R2 3.1.1 NIST.800-53.r5 AC-2, NIST.800-171.R2 3.3.9 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.R2 3.3.9, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-171.R2 NIST.800-53.r5 AC-6 171.R2 3.13.3, PCI DSS v3.2.1/7.2.1 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si des politiques sont associées à vos utilisateurs IAM. Le contrôle échoue si des politiques sont associées à vos utilisateurs IAM. Les utilisateurs IAM doivent plutôt hériter des autorisations des groupes IAM ou assumer un rôle.
Par défaut, les utilisateurs, les groupes et les rôles IAM n'ont aucun accès aux AWS ressources. Les politiques IAM accordent des privilèges aux utilisateurs, aux groupes ou aux rôles. Nous vous recommandons d'appliquer les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. L'attribution de privilèges au niveau du groupe ou du rôle réduit la complexité de la gestion des accès au fur et à mesure que le nombre d'utilisateurs augmente. La simplification de la gestion des accès peut contribuer à réduire les chances pour un mandataire de recevoir ou de conserver par inadvertance des privilèges excessifs.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous n'enregistrez que les ressources mondiales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez les ressources mondiales.
### Correction
Pour résoudre ce problème, [créez un groupe IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html) et associez la politique au groupe. [Ajoutez ensuite les utilisateurs au groupe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). La stratégie est appliquée à chaque utilisateur du groupe. Pour supprimer une politique directement attachée à un utilisateur, consultez la section [Ajout et suppression d'autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le guide de l'*utilisateur IAM*.
## [IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.13, CIS Foundations Benchmark v3.0.0/1.14, CIS AWS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, NIST.800-53.r5 AC-2 (1), (3), (15), PCI AWS DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `maxAccessKeyAge`: `90` (non personnalisable)
Ce contrôle vérifie si les clés d'accès actives font l’objet d’une rotation dans un délai de 90 jours.
Nous vous recommandons vivement de ne pas générer et de supprimer toutes les clés d'accès de votre compte. La meilleure pratique recommandée consiste plutôt à créer un ou plusieurs rôles IAM ou à utiliser la [fédération](https://aws.amazon.com/identity/federation/) via AWS IAM Identity Center. Vous pouvez utiliser ces méthodes pour permettre à vos utilisateurs d'accéder au AWS Management Console et AWS CLI.
Chaque approche a ses cas d'utilisation. La fédération est généralement préférable pour les entreprises qui disposent d'un annuaire central existant ou qui prévoient d'avoir besoin d'une quantité supérieure à la limite actuelle d'utilisateurs IAM. Les applications qui s'exécutent en dehors d'un AWS environnement ont besoin de clés d'accès pour accéder aux AWS ressources par programmation.
Toutefois, si les ressources nécessitant un accès programmatique s'exécutent à l'intérieur AWS, la meilleure pratique consiste à utiliser des rôles IAM. Les rôles vous permettent d'accorder un accès à une ressource sans coder en dur un ID de clé d'accès et une clé d'accès secrète dans la configuration.
Pour en savoir plus sur la protection de vos clés d'accès et de votre compte, consultez la section [Meilleures pratiques de gestion des clés AWS d'accès](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) dans le *Références générales AWS*. Consultez également le billet de blog [Directives pour vous protéger Compte AWS lors de l'utilisation de l'accès programmatique](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).
Si vous possédez déjà une clé d'accès, Security Hub CSPM vous recommande de changer les clés d'accès tous les 90 jours. La rotation des clés d'accès permet de réduire les possibilités qu'une clé d'accès associée à un compte compromis ou résilié ne soit utilisée. Elle permet également de s’assurer qu'il n'est pas possible d'accéder aux données avec une ancienne clé qui peut avoir été perdue, compromise ou volée. Mettez toujours à jour vos applications après avoir exécuté la rotation des clés d'accès.
Les clés d'accès sont constituées d'un ID de clé d'accès et une clé d'accès secrète. Ils sont utilisés pour signer les demandes programmatiques que vous envoyez à AWS. Les utilisateurs ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques AWS depuis Outils pour Windows PowerShell ou des AWS SDKs appels HTTP directs à l'aide des opérations d'API individuelles Services AWS. AWS CLI
Si votre organisation utilise AWS IAM Identity Center (IAM Identity Center), vos utilisateurs peuvent se connecter à Active Directory, à un annuaire IAM Identity Center intégré ou à un [autre fournisseur d'identité (IdP) connecté à](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) IAM Identity Center. Ils peuvent ensuite être mappés à un rôle IAM qui leur permet d'exécuter des AWS CLI commandes ou d'appeler des opérations d' AWS API sans avoir besoin de clés d'accès. Pour en savoir plus, consultez [la section Configuration du AWS CLI à utiliser AWS IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Pour effectuer une rotation des clés d'accès datant de plus de 90 jours, voir [Rotation des clés d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) dans le *guide de l'utilisateur d'IAM*. Suivez les instructions pour tout utilisateur dont l'**âge de la clé d'accès** est supérieur à 90 jours.
## [IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.3, CIS AWS Foundations Benchmark v3.0.0/1.4, CIS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), (2) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la clé d'accès de l'utilisateur root est présente.
L'utilisateur root est l'utilisateur le plus privilégié d'un Compte AWS. AWS les clés d'accès fournissent un accès programmatique à un compte donné.
Security Hub CSPM recommande de supprimer toutes les clés d'accès associées à l'utilisateur root. Cela limite les vecteurs qui peuvent être utilisés pour compromettre votre compte. Cela incite également à créer et à utiliser comptes basés sur des rôles avec moins de privilèges.
### Correction
Pour supprimer la clé d'accès de l'utilisateur root, consultez [la section Suppression des clés d'accès de l'utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) dans le *guide de l'utilisateur IAM*. Pour supprimer les clés d'accès utilisateur root d'une entrée Compte AWS AWS GovCloud (US), voir [Supprimer les clés d'accès utilisateur root de mon AWS GovCloud (US) compte](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) dans le *guide de AWS GovCloud (US) l'utilisateur*.
## [IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.9, CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS Foundations Benchmark v1.2.0/1.2, NIST.800-53.r5 AC-2 (1), (15), (2), (6), NIST.800-53.r5 AC-3 (8), PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification AWS multifactorielle (MFA) est activée pour tous les utilisateurs IAM qui utilisent un mot de passe de console.
L'authentification multi-facteurs (MFA, Multi-Factor Authentication) ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque la MFA est activée, lorsqu'un utilisateur se connecte à un AWS site Web, il est invité à saisir son nom d'utilisateur et son mot de passe. En outre, ils sont invités à saisir un code d'authentification depuis leur dispositif AWS MFA.
Nous vous recommandons d'activer l'authentification MFA pour tous les comptes disposant d'un mot de passe de console. L’authentification MFA est conçue pour fournir une sécurité accrue pour l'accès à la console. Le mandataire d'authentification doit posséder un dispositif qui émet une clé sensible au temps et connaître des informations d’identification.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
*Pour ajouter une authentification MFA pour les utilisateurs IAM, consultez la section [Utilisation de l'authentification multifactorielle (MFA) dans AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) le guide de l'utilisateur IAM.*
## [IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.5, CIS AWS Foundations Benchmark v3.0.0/1.6, CIS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), (8), NIST.800-53.r5 AC-3 PCI DSS v4.0.1/8.4.2 AWS NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si vous Compte AWS êtes autorisé à utiliser un dispositif d'authentification matérielle multifactorielle (MFA) pour vous connecter avec les informations d'identification de l'utilisateur root. Le contrôle échoue si le MFA matériel n'est pas activé ou si les périphériques MFA virtuels sont autorisés à se connecter avec les informations d'identification de l'utilisateur root.
Un appareil MFA virtuel peut ne pas fournir le même niveau de sécurité qu'un appareil MFA matériel. Nous vous recommandons d'utiliser un périphérique MFA virtuel uniquement pendant que vous attendez l'approbation de l'achat du matériel ou l'arrivée de votre matériel. Pour en savoir plus, consultez la section [Attribuer un périphérique MFA virtuel (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html) dans le guide de l'utilisateur *IAM*.
**Note**
Security Hub CSPM évalue ce contrôle en fonction de la présence des informations d'identification de l'utilisateur root (profil de connexion) dans un. Compte AWS Le contrôle génère `PASSED` des résultats dans les cas suivants :
Les informations d'identification de l'utilisateur root sont présentes dans le compte et le MFA matériel est activé pour l'utilisateur root.
Les informations d'identification de l'utilisateur root ne sont pas présentes dans le compte.
Le contrôle permet de déterminer si `FAILED` les informations d'identification de l'utilisateur root sont présentes dans le compte et si le MFA matériel n'est pas activé pour l'utilisateur root.
### Correction
Pour plus d'informations sur l'activation de l'authentification multifacteur matérielle pour l'utilisateur root, reportez-vous à la section [Authentification multifactorielle correspondante Utilisateur racine d'un compte AWS dans le guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) de l'utilisateur *IAM*.
## [IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte
**Exigences connexes :** NIST.800-53.r5 AC-2 (1), (3), (15), NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 NIST.800-171.R2 3.5.2, NIST.800-53.r5 IA-5 NIST.800-171.R2 3.5.7, NIST.800-171.R2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1, CI DSS v4.0.1/8.6.3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `RequireUppercaseCharacters` | Exiger au moins une majuscule dans le mot de passe | Booléen | `true` ou `false` | `true` |
| `RequireLowercaseCharacters` | Exiger au moins une minuscule dans le mot de passe | Booléen | `true` ou `false` | `true` |
| `RequireSymbols` | Exiger au moins un symbole dans le mot de passe | Booléen | `true` ou `false` | `true` |
| `RequireNumbers` | Exiger au moins un chiffre dans le mot de passe | Booléen | `true` ou `false` | `true` |
| `MinimumPasswordLength` | Nombre minimum de caractères dans le mot de passe | Entier | `8` sur `128` | `8` |
| `PasswordReusePrevention` | Nombre de rotations de mots de passe avant qu'un ancien mot de passe puisse être réutilisé | Entier | `12` sur `24` | Aucune valeur par défaut |
| `MaxPasswordAge` | Nombre de jours avant l'expiration du mot de passe | Entier | `1` sur `90` | Aucune valeur par défaut |
Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise des configurations strictes. Le contrôle échoue si la politique de mot de passe n'utilise pas de configurations fortes. À moins que vous ne fournissiez des valeurs de paramètres personnalisées, Security Hub CSPM utilise les valeurs par défaut mentionnées dans le tableau précédent. Les `MaxPasswordAge` paramètres `PasswordReusePrevention` et n'ont aucune valeur par défaut. Par conséquent, si vous excluez ces paramètres, Security Hub CSPM ignore le nombre de rotations de mots de passe et l'âge des mots de passe lors de l'évaluation de ce contrôle.
Pour y accéder AWS Management Console, les utilisateurs d'IAM ont besoin de mots de passe. À titre de bonne pratique, Security Hub CSPM recommande vivement d'utiliser la fédération au lieu de créer des utilisateurs IAM. La fédération permet aux utilisateurs d'utiliser leurs informations d'identification d'entreprise existantes pour se connecter au AWS Management Console. Utilisez AWS IAM Identity Center (IAM Identity Center) pour créer ou fédérer l'utilisateur, puis assumez un rôle IAM dans un compte.
Pour en savoir plus sur les fournisseurs d'identité et la fédération, consultez la section [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) dans le *guide de l'utilisateur IAM*. Pour en savoir plus sur IAM Identity Center, consultez le [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).
Si vous devez utiliser des utilisateurs IAM, Security Hub CSPM vous recommande d'imposer la création de mots de passe utilisateur forts. Vous pouvez définir une politique de mot de passe Compte AWS pour définir les exigences de complexité et les périodes de rotation obligatoires pour les mots de passe. Lorsque vous créez ou modifiez une politique de mot de passe, la plupart des paramètres de la politique de mot de passe sont appliqués la prochaine fois que les utilisateurs modifient leur mot de passe. Certains paramètres sont appliqués immédiatement.
### Correction
Pour mettre à jour votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*.
## [IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.3, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-2, (3), (15), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.R2 3.1.2, PCI DSS v3.2.1/8.1.4 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `maxCredentialUsageAge`: `90` (non personnalisable)
Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 90 jours.
Les utilisateurs IAM peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.
Security Hub CSPM vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées pendant 90 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la **clé d'accès, l'âge** du **mot de passe** et la **dernière activité**. Si la valeur dans l'une de ces colonnes est supérieure à 90 jours, rendez inactives les informations d'identification de ces utilisateurs.
Vous pouvez également utiliser les [rapports d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 90 jours ou plus. Vous pouvez télécharger les rapports d'identification au `.csv` format depuis la console IAM.
Après avoir identifié les comptes inactifs ou les informations d'identification non utilisées, désactivez-les. Pour obtenir des instructions, consultez [la section Création, modification ou suppression d'un mot de passe utilisateur IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) dans le guide de l'*utilisateur IAM*.
## [IAM.9] La MFA doit être activée pour l'utilisateur root
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS Foundations Benchmark v3.0.0/1.5, CIS Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), (15) AWS , (1), (2), (6), (8) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée pour que l'utilisateur root IAM puisse Compte AWS se connecter à. AWS Management Console Le contrôle échoue si le MFA n'est pas activé pour l'utilisateur root du compte.
L'utilisateur root IAM d'un Compte AWS a un accès complet à tous les services et ressources du compte. Si le MFA est activé, l'utilisateur doit saisir un nom d'utilisateur, un mot de passe et un code d'authentification depuis son appareil AWS MFA afin de se connecter au. AWS Management Console La MFA ajoute une couche de protection supplémentaire en plus d'un nom d'utilisateur et d'un mot de passe.
Ce contrôle génère `PASSED` des résultats dans les cas suivants :
+ Les informations d'identification de l'utilisateur root sont présentes dans le compte et le MFA est activé pour l'utilisateur root.
+ Les informations d'identification de l'utilisateur root ne sont pas présentes dans le compte.
Le contrôle génère des `FAILED` résultats si les informations d'identification de l'utilisateur root sont présentes dans le compte et si le MFA n'est pas activé pour l'utilisateur root.
### Correction
*Pour plus d'informations sur l'activation de la MFA pour l'utilisateur root d'un Compte AWS, reportez-vous à la section [Authentification multifactorielle du Guide de Utilisateur racine d'un compte AWS l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)Gestion des identités et des accès AWS utilisateur.*
## [IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte
**Exigences connexes :** NIST.800-171.R2 3.5.2, NIST.800-171.R2 3.5.7, NIST.800-171.R2 3.5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise les configurations PCI DSS minimales suivantes.
+ `RequireUppercaseCharacters`— Exige au moins une majuscule dans le mot de passe. (Valeur par défaut = `true`)
+ `RequireLowercaseCharacters`— Exige au moins une minuscule dans le mot de passe. (Valeur par défaut = `true`)
+ `RequireNumbers`— Exige au moins un chiffre dans le mot de passe. (Valeur par défaut = `true`)
+ `MinimumPasswordLength`— Longueur minimale du mot de passe. (Par défaut = 7 ou plus)
+ `PasswordReusePrevention`— Nombre de mots de passe avant d'autoriser leur réutilisation. (Par défaut = 4)
+ `MaxPasswordAge`— Nombre de jours avant l'expiration du mot de passe. (Par défaut = 90)
**Note**
Le 30 mai 2025, Security Hub CSPM a supprimé ce contrôle de la norme PCI DSS v4.0.1. La norme PCI DSS v4.0.1 exige désormais que les mots de passe comportent au moins 8 caractères. Ce contrôle continue de s'appliquer à la norme PCI DSS v3.2.1, qui impose des exigences différentes en matière de mot de passe.
[Pour évaluer les politiques de mot de passe du compte par rapport aux exigences de la norme PCI DSS v4.0.1, vous pouvez utiliser le contrôle IAM.7.](#iam-7) Ce contrôle nécessite que les mots de passe comportent au moins 8 caractères. Il prend également en charge les valeurs personnalisées pour la longueur du mot de passe et d'autres paramètres. Le contrôle IAM.7 fait partie de la norme PCI DSS v4.0.1 du Security Hub CSPM.
### Correction
Pour mettre à jour votre politique de mot de passe afin d'utiliser la configuration recommandée, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*.
## [IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.5, NIST.800-171.R2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents.
Le CIS recommande que la politique de mot de passe exige au moins une lettre majuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **la sécurité du mot** de passe, sélectionnez **Exiger au moins une lettre majuscule de l'alphabet latin (A—Z)**.
## [IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.6, NIST.800-171.R2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents. Le CIS recommande que la politique de mot de passe exige au moins une lettre minuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **renforcer le mot de passe**, sélectionnez **Exiger au moins une lettre minuscule de l'alphabet latin (A—Z**).
## [IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/1.7, NIST.800-171.R2 3.5.7
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents.
Le CIS recommande que la politique de mot de passe exige au moins un symbole. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour la sécurité du **mot** de passe, sélectionnez **Exiger au moins un caractère non alphanumérique**.
## [IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.8, NIST.800-171.R2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents.
Le CIS recommande que la politique de mot de passe exige au moins un chiffre. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **la sécurité du mot** de passe, sélectionnez **Exiger au moins un chiffre**.
## [IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.7, CIS Foundations Benchmark v3.0.0/1.8, CIS AWS Foundations Benchmark v1.4.0/1.8, CIS Foundations Benchmark v1.2.0/1.9, AWS NIST.800-171.R2 3.5.7 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe ont au moins une longueur donnée.
Le CIS recommande que la politique de mot de passe exige une longueur de mot de passe minimale de 14 caractères. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour la **longueur minimale du mot** de passe, entrez **14** ou un nombre supérieur.
## [IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/1.8, CIS Foundations Benchmark v3.0.0/1.9, CIS AWS Foundations Benchmark v1.4.0/1.9, CIS Foundations Benchmark v1.2.0/1.10, AWS NIST.800-171.R2 3.5.8, PCI DSS v4.0.1/8.3.7 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le nombre de mots de passe à mémoriser est défini sur 24. Le contrôle échoue si la valeur n'est pas 24.
Les politiques de mot de passe IAM peuvent empêcher la réutilisation d'un mot de passe donné par le même utilisateur.
Le CIS recommande que la politique en matière de mots de passe empêche la réutilisation des mots de passe. Le fait d'empêcher la réutilisation des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **Empêcher la réutilisation du mot** de passe, entrez**24**.
## [IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins
**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Les politiques de mot de passe IAM peuvent exiger la rotation ou l'expiration des mots de passe après un certain nombre de jours.
Le CIS recommande que la politique en matière de mots de passe fasse expirer les mots de passe après 90 jours ou moins. Le fait de réduire la durée de vie des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force. Il s'avère également utile d'avoir à changer régulièrement de mot de passe dans les cas suivants :
+ Les mots de passe peuvent être volés ou compromis à votre insu. Cela peut se produire si un système est compromis, si un logiciel est vulnérable ou par le biais d'une menace interne.
+ Certains filtres web ou serveurs proxy d'entreprise et d'administrations peuvent intercepter et enregistrer le trafic, même s'il est chiffré.
+ De nombreuses personnes utilisent le même mot de passe pour plusieurs systèmes (ordinateurs au bureau et à domicile, messagerie électronique, etc.).
+ Un enregistreur de frappe peut être installé sur les postes de travail des utilisateurs finaux compromis.
### Correction
Pour modifier votre politique de mot de passe, consultez la section [Définition d'une politique de mot de passe de compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) dans le guide de l'*utilisateur IAM*. Pour **Activer l'expiration du mot de passe**, entrez **90** ou un nombre inférieur.
## [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.16, CIS Foundations Benchmark v3.0.0/1.17, CIS AWS Foundations Benchmark v1.4.0/1.17, CIS Foundations Benchmark v1.2.0/1.20, NIST.800-171.R2 3.1.2, AWS PCI DSS v4.0.1/12.10.3 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (non personnalisable)
+ `policyUsageType`: `ANY` (non personnalisable)
AWS fournit un centre de support qui peut être utilisé pour la notification et la réponse aux incidents, ainsi que pour le support technique et le service client.
Créez un rôle IAM pour permettre aux utilisateurs autorisés de gérer les incidents avec AWS Support. En mettant en œuvre le moindre privilège pour le contrôle d'accès, un rôle IAM nécessitera une politique IAM appropriée pour autoriser l'accès au centre de support afin de gérer les incidents avec. Support
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Pour résoudre ce problème, créez un rôle permettant aux utilisateurs autorisés de gérer les Support incidents.
**Pour créer le rôle à utiliser pour l' Support accès**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation IAM, choisissez **Roles**, puis **Create role**.
1. Pour **Type de rôle**, choisissez **Autre Compte AWS**.
1. Dans le **champ Compte AWS ID de compte**, entrez l'identifiant Compte AWS auquel vous souhaitez accorder l'accès à vos ressources.
Si les utilisateurs ou les groupes qui assument ce rôle se trouvent dans le même compte, entrez le numéro de compte local.
**Note**
L'administrateur du compte spécifié peut accorder l'autorisation d'assumer ce rôle à n'importe quel utilisateur de ce compte. Pour ce faire, l'administrateur attache une politique à l'utilisateur ou à un groupe qui donne l'autorisation pour l'action `sts:AssumeRole`. Dans cette stratégie, la ressource doit être l'ARN du rôle.
1. Choisissez **Suivant : Autorisations**.
1. Recherchez la stratégie gérée `AWSSupportAccess`.
1. Activez la case à cocher de la stratégie `AWSSupportAccess` gérée.
1. Choisissez **Suivant : Balises**.
1. (Facultatif) Pour ajouter des métadonnées au rôle, associez des balises sous forme de paires clé-valeur.
Pour plus d'informations sur l'utilisation des balises dans IAM, consultez [Balisage des utilisateurs et des rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.
1. Choisissez **Suivant : Vérification**.
1. Dans le champ **Role name** (Nom de rôle), saisissez un nom pour votre rôle.
Les noms de rôles doivent être uniques au sein de votre Compte AWS. Elles ne sont pas sensibles à la casse.
1. (Facultatif) Dans le champ **Description du rôle**, saisissez la description du nouveau rôle.
1. Passez en revue les informations du rôle, puis choisissez **Create role (Créer un rôle)**.
## [IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
**Exigences connexes :** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 (1), (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 NIST.800-171.R2 3.3.8, NIST.800-53.r5 IA-2 NIST.800-171.R2 3.5.3, NIST.800-171.R2 3.5.4, NIST.800-171.R2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2,
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée pour les utilisateurs IAM.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
*Pour ajouter l'authentification MFA pour les utilisateurs IAM, consultez la section Activation des [appareils MFA pour les utilisateurs AWS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) le guide de l'utilisateur IAM.*
## [IAM.20] Évitez d'utiliser l'utilisateur root
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.1
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::User`
**AWS Config règle :** `use-of-root-account-test` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un utilisateur root Compte AWS est soumis à des restrictions d'utilisation. Le contrôle évalue les ressources suivantes :
+ Rubriques Amazon Simple Notification Service (Amazon SNS)
+ AWS CloudTrail sentiers
+ Filtres métriques associés aux CloudTrail sentiers
+ CloudWatch Alarmes Amazon basées sur les filtres
Cette vérification permet de `FAILED` déterminer si une ou plusieurs des affirmations suivantes sont vraies :
+ Aucune CloudTrail trace n'existe dans le compte.
+ Un suivi CloudTrail est activé, mais il n'est pas configuré avec au moins un suivi multirégional incluant des événements de gestion de lecture et d'écriture.
+ Un suivi CloudTrail est activé, mais il n'est pas associé à un groupe de CloudWatch journaux Logs.
+ Le filtre métrique exact prescrit par le Center for Internet Security (CIS) n'est pas utilisé. Le filtre métrique prescrit est`'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`.
+ Aucune CloudWatch alarme basée sur le filtre métrique n'existe dans le compte.
+ CloudWatch les alarmes configurées pour envoyer une notification à la rubrique SNS associée ne se déclenchent pas en fonction de la condition de l'alarme.
+ La rubrique SNS n'est pas conforme aux [contraintes d'envoi d'un message à une rubrique SNS.](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html)
+ La rubrique SNS n'a pas au moins un abonné.
Cette vérification donne lieu à un statut de contrôle indiquant `NO_DATA` si une ou plusieurs des affirmations suivantes sont vraies :
+ Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
+ Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.
Cette vérification donne lieu à un statut de contrôle indiquant `WARNING` si une ou plusieurs des affirmations suivantes sont vraies :
+ Le compte courant ne possède pas la rubrique SNS référencée dans l' CloudWatch alarme.
+ Le compte actuel n'a pas accès à la rubrique SNS lorsqu'il appelle l'API `ListSubscriptionsByTopic` SNS.
**Note**
Nous vous recommandons d'utiliser les traces d'organisation pour enregistrer les événements provenant de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation aboutit à un statut de contrôle NO\$1DATA pour les contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Il est recommandé d'utiliser les informations d'identification de votre utilisateur root uniquement lorsque cela est nécessaire pour [effectuer des tâches de gestion des comptes et des services](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Appliquez les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. Pour obtenir des instructions sur la configuration d'un administrateur pour une utilisation quotidienne, consultez la section [Création de votre premier utilisateur et de votre premier groupe d'administrateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) dans le guide de l'*utilisateur IAM*.
### Correction
Les étapes pour résoudre ce problème incluent la configuration d'une rubrique Amazon SNS, CloudTrail d'un journal, d'un filtre métrique et d'une alarme pour le filtre métrique.
**Pour créer une rubrique Amazon SNS**
1. [Ouvrez la console Amazon SNS à l'adresse v3/home. https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)
1. Créez une rubrique Amazon SNS qui reçoit toutes les alarmes CIS.
Créez au moins un abonné à la rubrique. Pour plus d'informations, consultez [Prise en main d'Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le *Guide du développeur Amazon Simple Notification Service*.
Ensuite, configurez une option active CloudTrail qui s'applique à toutes les régions. Pour cela, suivez les étapes de correction dans [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1).
Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous créez le filtre métrique pour ce groupe de journaux.
Enfin, créez le filtre métrique et l'alarme.
**Pour créer un filtre de métrique et une alarme**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, choisissez **Groupes de journaux**.
1. Cochez la case correspondant au groupe de CloudWatch journaux Logs associé au journal CloudTrail que vous avez créé.
1. Dans **Actions**, choisissez **Create Metric Filter**.
1. Sous **Définir le modèle**, procédez comme suit :
1. Copiez le modèle suivant, puis collez-le dans le champ **Modèle de filtre**.
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
1. Choisissez **Suivant**.
1. Sous **Affecter une métrique**, procédez comme suit :
1. Dans **Nom du filtre**, entrez le nom de votre filtre métrique.
1. Pour **Metric Namespace**, entrez**LogMetrics**.
Si vous utilisez le même espace de noms pour tous vos filtres de métriques de log CIS, toutes les métriques CIS Benchmark sont regroupées.
1. Dans **Nom de la métrique**, entrez le nom de la métrique. N'oubliez pas le nom de la métrique. Vous devrez sélectionner la métrique lorsque vous créerez l'alarme.
1. Pour **Valeur de la métrique**, saisissez **1**.
1. Choisissez **Suivant**.
1. Sous **Vérifier et créer**, vérifiez les informations que vous avez fournies pour le nouveau filtre métrique. Choisissez ensuite **Créer un filtre métrique**.
1. Dans le volet de navigation, choisissez **Log groups**, puis choisissez le filtre que vous avez créé sous **Filtres métriques**.
1. Cochez la case correspondant au filtre. Sélectionnez **Créer une alerte**.
1. Sous **Spécifier la métrique et les conditions**, procédez comme suit :
1. Sous **Conditions**, pour **Seuil**, choisissez **Static**.
1. Pour **Définir la condition de l'alarme**, choisissez **Greater/Equal**.
1. Pour **Définir la valeur de seuil**, entrez**1**.
1. Choisissez **Suivant**.
1. Sous **Configurer les actions**, procédez comme suit :
1. Sous **Déclencheur d'état** d'alarme, choisissez **En alarme**.
1. Sous **Select an SNS topic (Sélectionner une rubrique SNS)**, choisissez **Select an existing SNS topic (Sélectionner une rubrique SNS existante)**.
1. Pour **Envoyer une notification à**, entrez le nom de la rubrique SNS que vous avez créée lors de la procédure précédente.
1. Choisissez **Suivant**.
1. Sous **Ajouter un nom et une description**, entrez un **nom** et une **description** pour l'alarme, tels que**CIS-1.1-RootAccountUsage**. Ensuite, sélectionnez **Suivant**.
1. Sous **Prévisualiser et créer**, passez en revue la configuration de l'alarme. Ensuite, choisissez **Créer une alarme**.
## [IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services
**Exigences connexes :** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15), (7),, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3), NIST.800-53.r5 AC-3 NIST.800-171.R2 3.1.1, NIST.800-171.R2 3.1.2 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.R2 3.1.5, NIST.800-53.r5 AC-6 NIST.800-171.R2 3.1.7, NIST.800-171.R2 3.3.8, NIST.800-171.R2 3.3.9, NIST.800-171.R2 3.3.9, NIST.800-171.R2 3.3.9, NIST.800-171.R2 171.R2 3.13.3, NIST.800-171.R2 3.13.4
**Catégorie :** Détecter > Gestion des accès sécurisés
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::Policy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `excludePermissionBoundaryPolicy`: `True` (non personnalisable)
Ce contrôle vérifie si les politiques basées sur l'identité IAM que vous créez comportent des instructions Allow qui utilisent le caractère générique\$1 pour accorder des autorisations pour toutes les actions sur n'importe quel service. Le contrôle échoue si une déclaration de politique inclut la mention « `"Effect": "Allow"` with `"Action": "Service:*"` ».
Par exemple, l'instruction suivante dans une politique entraîne un échec de recherche.
```
"Statement": [
{
"Sid": "EC2-Wildcard",
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*"
}
```
Le contrôle échoue également si vous utilisez `"Effect": "Allow"` avec`"NotAction": "service:*"`. Dans ce cas, l'`NotAction`élément donne accès à toutes les actions d'un Service AWS, à l'exception des actions spécifiées dans`NotAction`.
Ce contrôle s'applique uniquement aux politiques IAM gérées par le client. Elle ne s'applique pas aux politiques IAM gérées par AWS.
Lorsque vous attribuez des autorisations à Services AWS, il est important de définir les actions IAM autorisées dans vos politiques IAM. Vous devez limiter les actions IAM aux seules actions nécessaires. Cela vous permet d'octroyer des autorisations avec le moindre privilège. Des politiques trop permissives peuvent entraîner une augmentation des privilèges si elles sont associées à un principal IAM qui n'a peut-être pas besoin d'autorisation.
Dans certains cas, vous souhaiterez peut-être autoriser les actions IAM qui ont un préfixe similaire, tel que `DescribeFlowLogs` et. `DescribeAvailabilityZones` Dans ces cas autorisés, vous pouvez ajouter un caractère générique suffixé au préfixe commun. Par exemple, `ec2:Describe*`.
Ce contrôle passe si vous utilisez une action IAM préfixée avec un caractère générique suffixé. Par exemple, l'instruction suivante figurant dans une politique aboutit à un résultat positif.
```
"Statement": [
{
"Sid": "EC2-Wildcard",
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
}
```
Lorsque vous regroupez les actions IAM associées de cette manière, vous pouvez également éviter de dépasser les limites de taille de la politique IAM.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Pour remédier à ce problème, mettez à jour vos politiques IAM afin qu'elles n'accordent pas de privilèges administratifs « \$1 » complets. Pour plus de détails sur la modification d'une stratégie IAM, consultez la section [Modification des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dans le Guide de l'utilisateur *IAM*.
## [IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.11, CIS Foundations Benchmark v3.0.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.12, NIST.800-171.R2 3.1.2 AWS
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::User`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 45 jours ou plus. Pour cela, il vérifie si le `maxCredentialUsageAge` paramètre de la AWS Config règle est égal ou supérieur à 45.
Les utilisateurs peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.
CIS vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées depuis 45 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.
La AWS Config règle de ce contrôle utilise les opérations de l'[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)et, qui ne sont mises à jour que toutes les quatre heures. Les modifications apportées aux utilisateurs IAM peuvent prendre jusqu'à quatre heures pour être visibles par ce contrôle.
**Note**
AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub CSPM. Cependant, vous pouvez activer l'enregistrement des ressources mondiales dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.
### Correction
Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la **clé d'accès, l'âge** du **mot de passe** et la **dernière activité**. Si la valeur de l'une de ces colonnes est supérieure à 45 jours, désactivez les informations d'identification de ces utilisateurs.
Vous pouvez également utiliser les [rapports d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 45 jours ou plus. Vous pouvez télécharger les rapports d'identification au `.csv` format depuis la console IAM.
Après avoir identifié les comptes inactifs ou les informations d'identification non utilisées, désactivez-les. Pour obtenir des instructions, consultez [la section Création, modification ou suppression d'un mot de passe utilisateur IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console) dans le guide de l'*utilisateur IAM*.
## [IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AccessAnalyzer::Analyzer`
**AWS Config règle :** `tagged-accessanalyzer-analyzer` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un analyseur géré par AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si l'analyseur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'analyseur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un analyseur, reportez-vous [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)à la référence de l'*AWS API IAM Access Analyzer*.
## [IAM.24] Les rôles IAM doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::Role`
**AWS Config règle :** `tagged-iam-role` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un rôle Gestion des identités et des accès AWS (IAM) possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le rôle ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le rôle n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un rôle IAM, consultez la section [Marquage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le guide de l'utilisateur *IAM*.
## [IAM.25] Les utilisateurs IAM doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IAM::User`
**AWS Config règle :** `tagged-iam-user` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un utilisateur Gestion des identités et des accès AWS (IAM) possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'utilisateur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'utilisateur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un utilisateur IAM, consultez la section [Marquage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le guide de l'utilisateur *IAM*.
## [IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.18, CIS Foundations Benchmark v3.0.0/1.19 AWS
**Catégorie :** Identifier > Conformité
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::ServerCertificate`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Cela permet de vérifier si un certificat de SSL/TLS serveur actif géré dans IAM a expiré. Le contrôle échoue si le certificat de SSL/TLS serveur expiré n'est pas supprimé.
Pour activer les connexions HTTPS à votre site Web ou à votre application AWS, vous avez besoin d'un certificat de SSL/TLS serveur. Vous pouvez utiliser IAM ou AWS Certificate Manager (ACM) pour stocker et déployer des certificats de serveur. Utilisez IAM comme gestionnaire de certificats uniquement lorsque vous devez prendre en charge les connexions HTTPS dans un environnement Région AWS qui n'est pas pris en charge par ACM. IAM chiffre en toute sécurité vos clés privées et stocke la version chiffrée dans le magasin de certificats SSL IAM. IAM prend en charge le déploiement de certificats de serveur dans toutes les régions, mais vous devez obtenir votre certificat auprès d'un fournisseur externe pour pouvoir l'utiliser avec AWS. Vous ne pouvez pas télécharger de certificat ACM vers IAM. En outre, vous ne pouvez pas gérer vos certificats depuis la console IAM. La suppression SSL/TLS des certificats expirés élimine le risque qu'un certificat non valide soit accidentellement déployé sur une ressource, ce qui peut nuire à la crédibilité de l'application ou du site Web sous-jacent.
### Correction
Pour supprimer un certificat de serveur d'IAM, consultez la section [Gestion des certificats de serveur dans IAM dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) le guide de l'utilisateur d'*IAM*.
## [IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.21, CIS Foundations Benchmark v3.0.0/1.22 AWS
**Catégorie : Protection** > Gestion des accès sécurisés > Politiques IAM sécurisées
**Gravité :** Moyenne
**Type de ressource :**`AWS::IAM::Role`,`AWS::IAM::User`, `AWS::IAM::Group`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**
**Type de calendrier :** changement déclenché
**Paramètres :**
+ « PolicYarns » : « arn:aws:iam : :aws : » policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess
Ce contrôle vérifie si la politique AWS gérée est `AWSCloudShellFullAccess` attachée à une identité IAM (utilisateur, rôle ou groupe). Le contrôle échoue si la `AWSCloudShellFullAccess` politique est attachée à une identité IAM.
AWS CloudShell fournit un moyen pratique d'exécuter des commandes CLI sur Services AWS. La politique AWS gérée `AWSCloudShellFullAccess` fournit un accès complet à CloudShell, ce qui permet de charger et de télécharger des fichiers entre le système local de l'utilisateur et l' CloudShell environnement. Dans l' CloudShell environnement, un utilisateur dispose d'autorisations sudo et peut accéder à Internet. Par conséquent, l'association de cette politique gérée à une identité IAM leur permet d'installer un logiciel de transfert de fichiers et de transférer des données CloudShell vers des serveurs Internet externes. Nous vous recommandons de suivre le principe du moindre privilège et d'attribuer des autorisations plus restreintes à vos identités IAM.
### Correction
Pour dissocier la `AWSCloudShellFullAccess` politique d'une identité IAM, consultez la section [Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le guide de l'utilisateur *IAM*.
## [IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/1.19, CIS Foundations Benchmark v3.0.0/1.20 AWS
**Catégorie :** Détecter > Services de détection > Surveillance des utilisations privilégiées
**Gravité :** Élevée
**Type de ressource :** `AWS::AccessAnalyzer::Analyzer`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un analyseur Compte AWS d'accès externe IAM Access Analyzer est activé. Le contrôle échoue si aucun analyseur d'accès externe n'est activé sur le compte actuellement sélectionné Région AWS.
Les analyseurs d'accès externes IAM Access Analyzer aident à identifier les ressources, telles que les buckets Amazon Simple Storage Service (Amazon S3) ou les rôles IAM, partagées avec une entité externe. Cela vous permet d'éviter tout accès involontaire à vos ressources et à vos données. L'analyseur d'accès IAM est régional et doit être activé dans chaque région. Pour identifier les ressources partagées avec des principaux externes, un analyseur d'accès utilise un raisonnement basé sur la logique pour analyser les politiques basées sur les ressources dans votre environnement. AWS Lorsque vous créez un analyseur d'accès externe, vous pouvez le créer et l'activer pour l'ensemble de votre organisation ou pour des comptes individuels.
**Note**
Si un compte fait partie d'une organisation AWS Organizations, ce contrôle ne prend pas en compte les analyseurs d'accès externes qui spécifient l'organisation comme zone de confiance et sont activés pour l'organisation de la région actuelle. Si votre organisation utilise ce type de configuration, envisagez de désactiver ce contrôle pour les comptes de membres individuels de votre organisation dans la région.
### Correction
Pour plus d'informations sur l'activation d'un analyseur d'accès externe dans une région spécifique, voir [Getting started with IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) dans le guide de l'utilisateur *IAM*. Vous devez activer un analyseur dans chaque région dans laquelle vous souhaitez contrôler l'accès à vos ressources.
# Contrôles CSPM du Security Hub pour Amazon Inspector
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Inspector.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.3.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le EC2 scan Amazon Inspector est activé. Pour un compte autonome, le contrôle échoue si le EC2 scan Amazon Inspector est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le EC2 scan n'est pas activé pour le compte administrateur Amazon Inspector délégué et pour tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonction de EC2 numérisation pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l'administrateur délégué a un compte de membre suspendu pour lequel le EC2 scan d'Amazon Inspector n'est pas activé. Pour recevoir un `PASSED` résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.
L' EC2 analyse d'Amazon Inspector extrait les métadonnées de votre instance Amazon Elastic Compute Cloud (Amazon EC2), puis compare ces métadonnées aux règles collectées à partir des avis de sécurité afin de produire des résultats. Amazon Inspector analyse les instances pour détecter les vulnérabilités des packages et les problèmes d'accessibilité au réseau. Pour plus d'informations sur les systèmes d'exploitation pris en charge, notamment sur les systèmes d'exploitation pouvant être scannés sans agent SSM, consultez [Systèmes d'exploitation pris en charge : Amazon EC2 scanning](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).
### Correction
Pour activer le EC2 scan Amazon Inspector, consultez la section [Activation des scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) dans le *guide de l'utilisateur d'Amazon Inspector*.
## [Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
**Exigences connexes :** PCI DSS v4.0.1/11.3.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le scan ECR d'Amazon Inspector est activé. Pour un compte autonome, le contrôle échoue si le scan ECR d'Amazon Inspector est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le scan ECR n'est pas activé sur le compte administrateur délégué Amazon Inspector et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité d'analyse ECR pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l'administrateur délégué a un compte de membre suspendu pour lequel le scan ECR d'Amazon Inspector n'est pas activé. Pour recevoir un `PASSED` résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.
Amazon Inspector analyse les images des conteneurs stockées dans Amazon Elastic Container Registry (Amazon ECR) pour détecter les vulnérabilités logicielles afin de générer des informations sur les vulnérabilités des packages. Lorsque vous activez les scans Amazon Inspector pour Amazon ECR, vous définissez Amazon Inspector comme service de numérisation préféré pour votre registre privé. Cela remplace la numérisation de base, qui est fournie gratuitement par Amazon ECR, par une numérisation améliorée, qui est fournie et facturée via Amazon Inspector. L'analyse améliorée vous permet de bénéficier de l'analyse des vulnérabilités pour les packages de système d'exploitation et de langage de programmation au niveau du registre. Vous pouvez consulter les résultats découverts grâce à la numérisation améliorée au niveau de l'image, pour chaque couche de l'image, sur la console Amazon ECR. En outre, vous pouvez consulter et utiliser ces résultats dans d'autres services qui ne sont pas disponibles pour les résultats de numérisation de base, notamment AWS Security Hub CSPM Amazon EventBridge.
### Correction
Pour activer le scan ECR d'Amazon Inspector, consultez la section [Activation des scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) dans le *guide de l'utilisateur d'Amazon Inspector*.
## [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
**Exigences connexes :** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le scan du code Lambda d'Amazon Inspector est activé. Pour un compte autonome, le contrôle échoue si le scan du code Lambda par Amazon Inspector est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le scan du code Lambda n'est pas activé sur le compte administrateur délégué Amazon Inspector et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de numérisation du code Lambda pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l'administrateur délégué a un compte de membre suspendu sur lequel le scan du code Lambda d'Amazon Inspector n'est pas activé. Pour recevoir un `PASSED` résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.
Le scan du code Lambda par Amazon Inspector analyse le code d'application personnalisé au sein d'une AWS Lambda fonction pour détecter les vulnérabilités du code, sur la base des meilleures pratiques AWS de sécurité. L'analyse du code Lambda permet de détecter des défauts d'injection, des fuites de données, une cryptographie faible ou un chiffrement manquant dans votre code. Cette fonctionnalité n'est disponible [Régions AWS que de manière spécifique](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability). Vous pouvez activer le scan de code Lambda en même temps que le scan standard Lambda (voir). [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](#inspector-4)
### Correction
Pour activer la numérisation du code Lambda d'Amazon Inspector, consultez la section [Activation des scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) dans le guide de l'*utilisateur d'Amazon Inspector*.
## [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
**Exigences connexes :** PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le scan standard Amazon Inspector Lambda est activé. Pour un compte autonome, le contrôle échoue si le scan standard Amazon Inspector Lambda est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le scan standard Lambda n'est pas activé sur le compte administrateur Amazon Inspector délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité d'analyse standard Lambda pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des `FAILED` résultats si l'administrateur délégué a un compte de membre suspendu pour lequel le scan standard Amazon Inspector Lambda n'est pas activé. Pour recevoir un `PASSED` résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.
L'analyse standard Amazon Inspector Lambda identifie les vulnérabilités logicielles dans les dépendances des packages d'applications que vous ajoutez à votre code de AWS Lambda fonction et à vos couches. Si Amazon Inspector détecte une vulnérabilité dans les dépendances des packages d'applications de votre fonction Lambda, Amazon Inspector produit une recherche de `Package Vulnerability` type détaillée. Vous pouvez activer le scan de code Lambda en même temps que le scan standard Lambda (voir). [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](#inspector-3)
### Correction
Pour activer le scan standard Amazon Inspector Lambda, consultez la section [Activation des scans](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) dans le guide de l'*utilisateur Amazon Inspector*.
# Contrôles Security Hub CSPM pour AWS IoT
Ces AWS Security Hub CSPM contrôles évaluent le AWS IoT service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::SecurityProfile`
**AWS Config règle :** `tagged-iot-securityprofile` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un profil AWS IoT Device Defender de sécurité comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le profil de sécurité ne possède aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le profil de sécurité n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un profil AWS IoT Device Defender de sécurité, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
## [IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::MitigationAction`
**AWS Config règle :** `tagged-iot-mitigationaction` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une action AWS IoT Core d'atténuation comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'action d'atténuation ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'action d'atténuation n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une action AWS IoT Core d'atténuation, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
## Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::Dimension`
**AWS Config règle :** `tagged-iot-dimension` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une AWS IoT Core dimension possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la dimension ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la dimension n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une AWS IoT Core dimension, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
## [IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::Authorizer`
**AWS Config règle :** `tagged-iot-authorizer` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS IoT Core autorisateur possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'autorisateur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'autorisateur n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un AWS IoT Core autorisateur, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le guide du *AWS IoT développeur*.
## Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::RoleAlias`
**AWS Config règle :** `tagged-iot-rolealias` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un alias de AWS IoT Core rôle possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'alias de rôle ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'alias de rôle n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un alias de AWS IoT Core rôle, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
## Les AWS IoT Core politiques [IoT.6] doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoT::Policy`
**AWS Config règle :** `tagged-iot-policy` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une AWS IoT Core politique comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la politique ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la politique n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une AWS IoT Core politique, consultez la section [Marquage de vos AWS IoT ressources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) dans le *guide du AWS IoT développeur*.
# Contrôles Security Hub CSPM pour les événements IoT AWS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources AWS IoT Events.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTEvents::Input`
**Règle AWS Config :** `iotevents-input-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une entrée AWS IoT Events comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'entrée ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'entrée n'est marquée par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une entrée AWS IoT Events, consultez la section [Marquage de vos AWS IoT Events ressources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) dans le *guide du AWS IoT Events développeur*.
## [Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTEvents::DetectorModel`
**Règle AWS Config :** `iotevents-detector-model-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un modèle de détecteur AWS IoT Events possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le modèle de détecteur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le modèle du détecteur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un modèle de détecteur AWS IoT Events, consultez la section [Marquage de vos AWS IoT Events ressources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) dans le *guide du AWS IoT Events développeur*.
## [Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTEvents::AlarmModel`
**Règle AWS Config :** `iotevents-alarm-model-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un modèle d'alarme AWS IoT Events possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le modèle d'alarme ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le modèle d'alarme n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un modèle d'alarme AWS IoT Events, consultez la section [Marquage de vos AWS IoT Events ressources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) dans le *guide du AWS IoT Events développeur*.
# Contrôles Security Hub CSPM pour l'IoT AWS SiteWise
Ces AWS Security Hub CSPM contrôles évaluent le SiteWise service et les ressources de l' AWS IoT.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::AssetModel`
**Règle AWS Config :** `iotsitewise-asset-model-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un modèle SiteWise d'actif AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le modèle d'actif ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le modèle d'actif n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un modèle d' SiteWise actif AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
## [Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::Dashboard`
**Règle AWS Config :** `iotsitewise-dashboard-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un SiteWise tableau de bord AWS IoT comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le tableau de bord ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le tableau de bord n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un tableau de SiteWise bord AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
## [Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::Gateway`
**Règle AWS Config :** `iotsitewise-gateway-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une SiteWise passerelle AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la passerelle ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la passerelle n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une SiteWise passerelle AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
## [Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::Portal`
**Règle AWS Config :** `iotsitewise-portal-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un SiteWise portail AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le portail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le portail n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un SiteWise portail AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
## [Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTSiteWise::Project`
**Règle AWS Config :** `iotsitewise-project-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un SiteWise projet AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le projet ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le projet n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un SiteWise projet AWS IoT, consultez la section [Marquer vos AWS IoT SiteWise ressources](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) dans le *guide de AWS IoT SiteWise l'utilisateur*.
# Contrôles Security Hub CSPM pour l'IoT AWS TwinMaker
Ces AWS Security Hub CSPM contrôles évaluent le TwinMaker service et les ressources de l' AWS IoT.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTTwinMaker::SyncJob`
**Règle AWS Config :** `iottwinmaker-sync-job-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une tâche de TwinMaker synchronisation AWS IoT comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la tâche de synchronisation ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche de synchronisation n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une tâche de TwinMaker synchronisation AWS IoT, consultez [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)le *guide de AWS IoT TwinMaker l'utilisateur*.
## [Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTTwinMaker::Workspace`
**Règle AWS Config :** `iottwinmaker-workspace-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un TwinMaker espace de travail AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'espace de travail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'espace de travail n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des tags à un TwinMaker espace de travail AWS IoT, consultez [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)le *guide de AWS IoT TwinMaker l'utilisateur*.
## [Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTTwinMaker::Scene`
**Règle AWS Config :** `iottwinmaker-scene-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une TwinMaker scène AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la scène ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la scène n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des tags à une TwinMaker scène AWS IoT, consultez [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)le *guide de AWS IoT TwinMaker l'utilisateur*.
## [Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTTwinMaker::Entity`
**Règle AWS Config :** `iottwinmaker-entity-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une TwinMaker entité AWS IoT possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'entité ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'entité n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une TwinMaker entité AWS IoT, consultez [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)le *guide de AWS IoT TwinMaker l'utilisateur*.
# Contrôles Security Hub CSPM pour IoT Wireless AWS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources AWS IoT Wireless.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTWireless::MulticastGroup`
**Règle AWS Config :** `iotwireless-multicast-group-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de multidiffusion AWS IoT Wireless possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le groupe de multidiffusion ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de multidiffusion n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un groupe de multidiffusion AWS IoT Wireless, consultez la section [Marquage de vos AWS IoT Wireless ressources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) dans le manuel du *AWS IoT Wireless développeur*.
## [Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTWireless::ServiceProfile`
**Règle AWS Config :** `iotwireless-service-profile-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un profil de service AWS IoT Wireless comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le profil de service ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le profil de service n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à un profil de service AWS IoT Wireless, consultez la section [Marquage de vos AWS IoT Wireless ressources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) dans le *guide du AWS IoT Wireless développeur*.
## [Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IoTWireless::FuotaTask`
**Règle AWS Config :** `iotwireless-fuota-task-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une tâche de mise à jour du micrologiciel de l' AWS IoT Wireless over-the-air (FUOTA) comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la tâche FUOTA ne possède aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche FUOTA n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une tâche AWS IoT Wireless FUOTA, consultez la section [Marquage de vos AWS IoT Wireless ressources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) dans le guide du *AWS IoT Wireless développeur*.
# Contrôles Security Hub CSPM pour Amazon IVS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources d'Amazon Interactive Video Service (IVS).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IVS::PlaybackKeyPair`
**Règle AWS Config :** `ivs-playback-key-pair-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une paire de clés de lecture Amazon IVS possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la paire de clés de lecture ne possède aucune clé de balise ou si toutes les touches spécifiées dans le paramètre ne sont pas toutes spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la paire de clés de lecture n'est associée à aucune touche. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une paire de clés de lecture IVS, consultez la référence de [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)l'*API Amazon IVS Real-Time Streaming*.
## [IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IVS::RecordingConfiguration`
**Règle AWS Config :** `ivs-recording configuration-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une configuration d'enregistrement Amazon IVS comporte des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si la configuration d'enregistrement ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la configuration d'enregistrement n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une configuration d'enregistrement IVS, consultez la référence de [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)l'*API Amazon IVS Real-Time Streaming*.
## [IVS.3] Les canaux IVS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::IVS::Channel`
**Règle AWS Config :** `ivs-channel-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une chaîne Amazon IVS possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si le canal ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le canal n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des tags à une chaîne IVS, consultez [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)le manuel *Amazon IVS Real-Time Streaming API Real-Time API Real-Time Real-Time Real-Time Real-Time Real-Time Reference*
# Contrôles Security Hub CSPM pour Amazon Keyspaces
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Keyspaces.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Cassandra::Keyspace`
**Règle AWS Config :** `cassandra-keyspace-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un espace de touches Amazon Keyspaces possède des balises avec les clés spécifiques définies dans le paramètre. `requiredKeyTags` Le contrôle échoue si le keyspace ne possède aucune clé de balise ou s'il ne contient pas toutes les touches spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le keyspace n'est marqué d'aucune touche. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des tags à un keyspace Amazon Keyspaces, consultez la section [Ajouter des tags à un keyspace dans le manuel Amazon *Keyspaces*](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) Developer Guide.
# Contrôles CSPM du Security Hub pour Kinesis
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Kinesis.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Kinesis::Stream`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les Kinesis Data Streams sont chiffrés au repos avec un chiffrement côté serveur. Ce contrôle échoue si un flux Kinesis n'est pas chiffré au repos par chiffrement côté serveur.
Le chiffrement côté serveur est une fonctionnalité d'Amazon Kinesis Data Streams qui chiffre automatiquement les données avant qu'elles ne soient inactives à l'aide d'un. AWS KMS key Les données sont chiffrées avant leur écriture sur la couche de stockage du flux Kinesis et déchiffrées après leur extraction de l'espace de stockage. Par conséquent, vos données sont chiffrées au repos dans le service Amazon Kinesis Data Streams.
### Correction
Pour plus d'informations sur l'activation du chiffrement côté serveur pour les flux Kinesis, voir [Comment démarrer](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) avec le chiffrement côté serveur ? dans le manuel *Amazon Kinesis Developer Guide*.
## [Kinesis.2] Les flux Kinesis doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Kinesis::Stream`
**AWS Config règle :** `tagged-kinesis-stream` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un flux de données Amazon Kinesis comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le flux de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le flux de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un flux de données Kinesis, consultez la section [Marquage de vos flux dans Amazon Kinesis Data Streams dans le manuel Amazon Kinesis Developer](https://docs.aws.amazon.com/streams/latest/dev/tagging.html) Guide.*
## [Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
**Gravité :** Moyenne
**Type de ressource :** `AWS::Kinesis::Stream`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| minimumBackupRetentionPeriod | Nombre minimum d'heures pendant lesquelles les données doivent être conservées. | String | 24 à 8760 | 168 |
Ce contrôle vérifie si la durée de conservation des données d'un flux de données Amazon Kinesis est supérieure ou égale à la période spécifiée. Le contrôle échoue si la période de conservation des données est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des données, Security Hub CSPM utilise une valeur par défaut de 168 heures.
Dans Kinesis Data Streams, un flux de données est une séquence ordonnée d'enregistrements de données destinés à être écrits et lus en temps réel. Les enregistrements de données sont temporairement stockés sous forme de fragments dans votre flux. La période entre le moment où un enregistrement est ajouté et celui où il n'est plus accessible est appelée la période de conservation. Kinesis Data Streams rend presque immédiatement inaccessibles les enregistrements antérieurs à la nouvelle période de conservation après la réduction de la durée de conservation. Par exemple, si la période de conservation est portée de 24 heures à 48 heures, les enregistrements ajoutés au flux 23 heures 55 minutes auparavant continuent d'être disponibles au bout de 24 heures.
### Correction
Pour modifier la période de conservation des sauvegardes pour vos Kinesis Data Streams, [consultez la section Modifier la période de conservation des données dans le](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) *manuel Amazon Kinesis Data* Streams Developer Guide.
# Contrôles Security Hub CSPM pour AWS KMS
Ces AWS Security Hub CSPM contrôles évaluent le service AWS Key Management Service (AWS KMS) et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS
**Exigences associées :** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::IAM::Policy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(non personnalisable)
+ `excludePermissionBoundaryPolicy`: `True` (non personnalisable)
Vérifie si la version par défaut des politiques gérées par le client IAM autorise les donneurs d'ordre à utiliser les actions de AWS KMS déchiffrement sur toutes les ressources. Le contrôle échoue si la politique est suffisamment ouverte pour autoriser `kms:Decrypt` des `kms:ReEncryptFrom` actions sur toutes les clés KMS.
Le contrôle vérifie uniquement les clés KMS dans l'élément Resource et ne prend en compte aucune condition dans l'élément Condition d'une politique. En outre, le contrôle évalue les politiques gérées par le client à la fois attachées et non attachées. Il ne vérifie pas les politiques intégrées ni les politiques AWS gérées.
Avec AWS KMS, vous contrôlez qui peut utiliser vos clés KMS et accéder à vos données chiffrées. Les politiques IAM définissent les actions qu'une identité (utilisateur, groupe ou rôle) peut effectuer sur quelles ressources. Conformément aux meilleures pratiques en matière de sécurité, il est AWS recommandé d'accorder le moindre privilège. En d'autres termes, vous ne devez accorder aux identités que les `kms:ReEncryptFrom` autorisations `kms:Decrypt` ou et uniquement les clés nécessaires à l'exécution d'une tâche. Dans le cas contraire, l'utilisateur pourrait utiliser des clés qui ne sont pas adaptées à vos données.
Au lieu d'accorder des autorisations pour toutes les clés, déterminez l'ensemble minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des politiques qui autorisent les utilisateurs à n'utiliser que ces clés. Par exemple, n'`kms:Decrypt`autorisez pas l'accès à toutes les clés KMS. Au lieu de cela, autorisez `kms:Decrypt` uniquement les clés d'une région spécifique pour votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.
### Correction
Pour modifier une politique gérée par le client IAM, consultez la section [Modification des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) dans le guide de l'*utilisateur IAM*. Lorsque vous modifiez votre politique, pour le `Resource` champ, indiquez le nom de ressource Amazon (ARN) de la ou des clés spécifiques sur lesquelles vous souhaitez autoriser les actions de déchiffrement.
## [KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS
**Exigences associées :** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(non personnalisable)
Ce contrôle vérifie si les politiques intégrées à vos identités IAM (rôle, utilisateur ou groupe) autorisent les actions de AWS KMS déchiffrement et de rechiffrement sur toutes les clés KMS. Le contrôle échoue si la politique est suffisamment ouverte pour autoriser `kms:Decrypt` des `kms:ReEncryptFrom` actions sur toutes les clés KMS.
Le contrôle vérifie uniquement les clés KMS dans l'élément Resource et ne prend en compte aucune condition dans l'élément Condition d'une politique.
Avec AWS KMS, vous contrôlez qui peut utiliser vos clés KMS et accéder à vos données chiffrées. Les politiques IAM définissent les actions qu'une identité (utilisateur, groupe ou rôle) peut effectuer sur quelles ressources. Conformément aux meilleures pratiques en matière de sécurité, il est AWS recommandé d'accorder le moindre privilège. En d'autres termes, vous ne devez accorder aux identités que les autorisations dont elles ont besoin et uniquement pour les clés nécessaires à l'exécution d'une tâche. Dans le cas contraire, l'utilisateur pourrait utiliser des clés qui ne sont pas adaptées à vos données.
Au lieu d'accorder des autorisations pour toutes les clés, déterminez l'ensemble minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des politiques qui permettent aux utilisateurs de n'utiliser que ces clés. Par exemple, n'`kms:Decrypt`autorisez pas l'accès à toutes les clés KMS. Au lieu de cela, autorisez l'autorisation uniquement sur des clés spécifiques dans une région spécifique pour votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.
### Correction
Pour modifier une politique intégrée IAM, consultez la section [Modification des politiques intégrées dans le guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) de l'utilisateur *IAM*. Lorsque vous modifiez votre politique, pour le `Resource` champ, indiquez le nom de ressource Amazon (ARN) de la ou des clés spécifiques sur lesquelles vous souhaitez autoriser les actions de déchiffrement.
## [KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance
**Exigences connexes :** NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Critique
**Type de ressource :** `AWS::KMS::Key`
**AWS Config règle :** `kms-cmk-not-scheduled-for-deletion-2` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la suppression des clés KMS est planifiée. Le contrôle échoue si la suppression d'une clé KMS est planifiée.
Les clés KMS ne peuvent pas être récupérées une fois supprimées. Les données chiffrées sous une clé KMS sont également irrémédiablement irrécupérables si la clé KMS est supprimée. *Si des données significatives ont été chiffrées sous une clé KMS dont la suppression est prévue, envisagez de les déchiffrer ou de les rechiffrer sous une nouvelle clé KMS, sauf si vous effectuez intentionnellement un effacement cryptographique.*
Lorsqu'une clé KMS est programmée pour être supprimée, une période d'attente obligatoire est imposée afin de laisser le temps d'annuler la suppression, si elle a été planifiée par erreur. Le délai d'attente par défaut est de 30 jours, mais il peut être réduit à 7 jours lorsque la suppression de la clé KMS est planifiée. Pendant la période d'attente, la suppression planifiée peut être annulée et la clé KMS ne sera pas supprimée.
Pour plus d'informations sur la suppression des clés KMS, consultez [la section Suppression des clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) dans le *manuel du AWS Key Management Service développeur*.
### Correction
Pour annuler la suppression planifiée d'une clé KMS, voir **Pour annuler la suppression de clé** sous [Planification et annulation de la suppression de clé (console)](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) dans le *guide du AWS Key Management Service développeur*.
## La rotation des AWS KMS touches [KMS.4] doit être activée
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/3.6, CIS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, 2, 2 ( NIST.800-53.r5 SC-12), 8 (3), PCI DSS v3.2.1/3.6.4, PCI DSS NIST.800-53.r5 SC-1 v4.0.1/3.7.4 AWS NIST.800-53.r5 SC-2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::KMS::Key`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
AWS KMS permet aux clients de faire pivoter la clé de sauvegarde, qui est un élément clé stocké AWS KMS et lié à l'identifiant de clé de la clé KMS. Il s'agit de la clé de stockage utilisée pour effectuer les opérations cryptographiques telles que le chiffrement et le déchiffrement. La rotation de clé automatique conserve actuellement toutes les clés de stockage précédentes afin que le déchiffrement des données chiffrées puisse se dérouler de façon transparente.
CIS vous recommande d'activer la rotation des clés KMS. La rotation des clés de chiffrement contribue à réduire l'impact potentiel d'une clé compromise, puisque les données chiffrées avec une nouvelle clé ne sont pas accessibles avec une ancienne clé susceptible d'avoir été exposée.
### Correction
Pour activer la rotation automatique des clés KMS, consultez la section [Comment activer et désactiver la rotation automatique des clés](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) dans le *manuel du AWS Key Management Service développeur*.
## [KMS.5] Les clés KMS ne doivent pas être accessibles au public
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::KMS::Key`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cela permet de vérifier si un AWS KMS key est accessible au public. Le contrôle échoue si la clé KMS est accessible au public.
La mise en œuvre de l'accès avec le moindre privilège est fondamentale pour réduire les risques de sécurité et l'impact des erreurs ou des intentions malveillantes. Si la politique clé d'un AWS KMS key autorise l'accès à partir de comptes externes, des tiers peuvent être en mesure de chiffrer et de déchiffrer les données à l'aide de la clé. Cela pourrait entraîner une menace interne ou externe exfiltrant les données des utilisateurs de Services AWS la clé.
**Note**
Ce contrôle renvoie également un `FAILED` résultat indiquant AWS KMS key si vos configurations AWS Config empêchent d'enregistrer la politique clé dans l'élément de configuration (CI) pour la clé KMS. AWS Config Pour renseigner la politique clé dans le CI pour la clé KMS, le [AWS Config rôle](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) doit avoir accès à la lecture de la politique clé à l'aide de l'appel d'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)API. Pour résoudre ce type de problème`FAILED`, vérifiez les politiques qui peuvent empêcher le AWS Config rôle d'avoir un accès en lecture à la politique clé pour la clé KMS. Vérifiez par exemple les points suivants :
La politique clé pour la clé KMS.
Les [politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) et [les politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations s'appliquent à votre compte.
Autorisations pour le AWS Config rôle, si vous n'utilisez pas le rôle [AWS Config lié au service](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
En outre, ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique clé doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
### Correction
Pour plus d'informations sur la mise à jour de la politique [clé pour un AWS KMS key, consultez la section Politiques clés](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) du *Guide du AWS Key Management Service développeur*. AWS KMS
# Contrôles Security Hub CSPM pour AWS Lambda
Ces AWS Security Hub CSPM contrôles évaluent le AWS Lambda service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/7.2.1, PCI DSS v4.0.1/7.2.1 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::Lambda::Function`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la politique basée sur les ressources de la fonction Lambda interdit l'accès public en dehors de votre compte. Le contrôle échoue si l'accès public est autorisé. Le contrôle échoue également si une fonction Lambda est invoquée depuis Amazon S3 et que la politique n'inclut aucune condition limitant l'accès public, telle que. `AWS:SourceAccount` Nous vous recommandons d'utiliser d'autres conditions S3 `AWS:SourceAccount` en plus de votre politique de compartiment pour un accès plus précis.
**Note**
Ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique de la fonction Lambda doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
La fonction Lambda ne doit pas être accessible au public, car cela peut permettre un accès involontaire à votre code de fonction.
### Correction
Pour résoudre ce problème, vous devez mettre à jour la politique basée sur les ressources de votre fonction afin de supprimer les autorisations ou d'ajouter la condition. `AWS:SourceAccount` Vous ne pouvez mettre à jour la politique basée sur les ressources qu'à partir de l'API Lambda ou. AWS CLI
Pour commencer, [consultez la politique basée sur les ressources sur la console](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) Lambda. Identifiez l'énoncé de politique dont les valeurs de `Principal` champ rendent la politique publique, telles que `"*"` ou`{ "AWS": "*" }`.
Vous ne pouvez pas modifier la politique depuis la console. Pour supprimer les autorisations de la fonction, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)commande depuis AWS CLI.
```
$ aws lambda remove-permission --function-name --statement-id
```
Remplacez-le `` par le nom de la fonction Lambda et `` par l'ID d'instruction (`Sid`) de l'instruction que vous souhaitez supprimer.
## [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), nIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::Lambda::Function`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (non personnalisable)
Ce contrôle vérifie si les paramètres d'exécution des AWS Lambda fonctions correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Le contrôle échoue si la fonction Lambda n'utilise pas un environnement d'exécution compatible, comme indiqué dans la section Paramètres. Security Hub CSPM ignore les fonctions dont le type de package est. `Image`
Les environnements d'exécution Lambda sont conçus autour d'une combinaison de systèmes d'exploitation, de langages de programmation et de bibliothèques de logiciels soumis à des mises à jour de maintenance et de sécurité. Lorsqu'un composant d'exécution n'est plus pris en charge pour les mises à jour de sécurité, Lambda le déconseille. Même si vous ne pouvez pas créer de fonctions utilisant l'environnement d'exécution obsolète, la fonction est toujours disponible pour traiter les événements d'invocation. Nous vous recommandons de vérifier que vos fonctions Lambda sont à jour et de ne pas utiliser d'environnements d'exécution obsolètes. *Pour obtenir la liste des environnements d'exécution pris en charge, voir les environnements d'exécution [Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) dans AWS Lambda le Guide du développeur.*
### Correction
*Pour plus d'informations sur les environnements d'exécution et les programmes de dépréciation pris en charge, consultez la section [Politique de dépréciation des environnements d'exécution](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) dans le Guide du développeur.AWS Lambda * Lorsque vous migrez vos environnements d'exécution vers la dernière version, suivez la syntaxe et les conseils des éditeurs de la langue. Nous vous recommandons également [d'appliquer des mises à jour d'exécution](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) afin de réduire le risque d'impact sur vos charges de travail dans les rares cas d'incompatibilité entre les versions d'exécution.
## [Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::Lambda::Function`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)**
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une fonction Lambda est déployée dans un cloud privé virtuel (VPC). Le contrôle échoue si la fonction Lambda n'est pas déployée dans un VPC. Security Hub CSPM n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accessibilité publique. Il se peut que vous constatiez des résultats erronés pour les ressources Lambda @Edge.
Le déploiement de ressources dans un VPC renforce la sécurité et le contrôle des configurations réseau. Ces déploiements offrent également une évolutivité et une tolérance élevée aux pannes dans plusieurs zones de disponibilité. Vous pouvez personnaliser les déploiements de VPC pour répondre aux diverses exigences des applications.
### Correction
*Pour configurer une fonction existante afin de se connecter aux sous-réseaux privés de votre VPC, [consultez la section Configuration de l'accès au VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) dans le guide du développeur.AWS Lambda * Nous vous recommandons de choisir au moins deux sous-réseaux privés pour une haute disponibilité et au moins un groupe de sécurité répondant aux exigences de connectivité de la fonction.
## [Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Lambda::Function`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `availabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si une AWS Lambda fonction qui se connecte à un cloud privé virtuel (VPC) fonctionne dans au moins le nombre spécifié de zones de disponibilité ()AZs. Le contrôle échoue si la fonction ne fonctionne pas dans au moins le nombre spécifié de AZs. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Le déploiement de ressources sur plusieurs AZs sites est une AWS bonne pratique pour garantir une haute disponibilité au sein de votre architecture. La disponibilité est un pilier essentiel du modèle de sécurité tridimensionnel de confidentialité, d'intégrité et de disponibilité. Toutes les fonctions Lambda connectées à un VPC doivent être déployées dans le cadre d'un déploiement multi-AZ afin de garantir qu'une seule zone de défaillance ne perturbe pas totalement les opérations.
### Correction
Si vous configurez votre fonction pour qu'elle se connecte à un VPC dans votre compte, spécifiez plusieurs sous-réseaux AZs pour garantir une haute disponibilité. Pour obtenir des instructions, consultez [la section Configuration de l'accès au VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) dans le guide du *AWS Lambda développeur*.
Lambda exécute automatiquement plusieurs autres fonctions afin AZs de garantir sa disponibilité pour traiter les événements en cas d'interruption de service dans une seule zone.
## [Lambda.6] Les fonctions Lambda doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Lambda::Function`
**AWS Config règle :** `tagged-lambda-function` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une AWS Lambda fonction possède des balises avec les touches spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la fonction ne possède aucune clé de balise ou si toutes les touches spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la fonction n'est associée à aucune touche. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à une fonction Lambda, consultez la section [Utilisation de balises sur les fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) dans le manuel du développeur.AWS Lambda *
## [Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray
**Exigences connexes :** NIST.800-53.r5 CA-7
**Catégorie :** Identifier - Journalisation
**Gravité : ** Faible
**Type de ressource :** `AWS::Lambda::Function`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le suivi actif avec AWS X-Ray est activé pour une AWS Lambda fonction. Le contrôle échoue si le traçage actif avec X-Ray est désactivé pour la fonction Lambda.
AWS X-Ray peut fournir des fonctionnalités de suivi et de surveillance pour les AWS Lambda fonctions, ce qui permet d'économiser du temps et des efforts lors du débogage et de l'exploitation des fonctions Lambda. Il peut vous aider à diagnostiquer les erreurs et à identifier les goulots d'étranglement, les ralentissements et les délais d'attente en réduisant le temps de latence des fonctions Lambda. Cela peut également aider à respecter les exigences de confidentialité et de conformité des données. Si vous activez le suivi actif pour une fonction Lambda, X-Ray fournit une vue globale du flux de données et du traitement au sein de la fonction Lambda, ce qui peut vous aider à identifier les failles de sécurité potentielles ou les pratiques de traitement des données non conformes. Cette visibilité peut vous aider à préserver l'intégrité et la confidentialité des données, ainsi que la conformité aux réglementations en vigueur.
**Note**
AWS X-Ray le suivi n'est actuellement pas pris en charge pour les fonctions Lambda avec Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka autogéré, Amazon MQ avec ActiveMQ et RabbitMQ, ou les mappages de sources d'événements Amazon DocumentDB.
### Correction
*Pour plus d'informations sur l'activation du suivi actif pour une AWS Lambda fonction, voir [Visualiser les invocations de fonctions Lambda à l'aide AWS X-Ray](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html) du manuel du développeur.AWS Lambda *
# Contrôles Security Hub CSPM pour Macie
Ces AWS Security Hub CSPM contrôles évaluent le service Amazon Macie.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Macie.1] Amazon Macie devrait être activé
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4
**Catégorie :** Détecter - Services de détection
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)
**Type de calendrier :** Périodique
Ce contrôle vérifie si Amazon Macie est activé pour un compte. Le contrôle échoue si Macie n'est pas activé pour le compte.
Amazon Macie découvre les données sensibles à l'aide de l'apprentissage automatique et de la correspondance de modèles, fournit une visibilité sur les risques liés à la sécurité des données et permet une protection automatique contre ces risques. Macie évalue automatiquement et en permanence vos compartiments Amazon Simple Storage Service (Amazon S3) en termes de sécurité et de contrôle d'accès, et génère des résultats pour vous signaler les problèmes potentiels liés à la sécurité ou à la confidentialité de vos données Amazon S3. Macie automatise également la découverte et le reporting des données sensibles, telles que les informations personnelles identifiables (PII), afin de vous permettre de mieux comprendre les données que vous stockez dans Amazon S3. Pour en savoir plus, consultez le guide de l'[https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).
### Correction
Pour activer Macie, consultez la section [Activer Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) dans le guide de l'utilisateur *Amazon Macie*.
## [Macie.2] La découverte automatique des données sensibles par Macie doit être activée
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)
**Type de calendrier :** Périodique
Ce contrôle vérifie si la découverte automatique des données sensibles est activée pour un compte administrateur Amazon Macie. Le contrôle échoue si la découverte automatique des données sensibles n'est pas activée pour un compte administrateur Macie. Ce contrôle s'applique uniquement aux comptes d'administrateur.
Macie automatise la découverte et le reporting des données sensibles, telles que les informations personnelles identifiables (PII), dans les compartiments Amazon Simple Storage Service (Amazon S3). Grâce à la découverte automatique des données sensibles, Macie évalue en permanence votre inventaire de compartiments et utilise des techniques d'échantillonnage pour identifier et sélectionner des objets S3 représentatifs de vos compartiments. Macie analyse ensuite les objets sélectionnés et les inspecte pour détecter la présence de données sensibles. Au fur et à mesure que les analyses progressent, Macie met à jour les statistiques, les données d'inventaire et les autres informations qu'il fournit sur vos données S3. Macie génère également des conclusions pour signaler les données sensibles qu'elle trouve.
### Correction
Pour créer et configurer des tâches de découverte automatique de données sensibles afin d'analyser des objets dans des compartiments S3, consultez la [section Configuration de la découverte automatique de données sensibles pour votre compte](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) dans le guide de l'*utilisateur Amazon Macie*.
# Contrôles Security Hub CSPM pour Amazon MSK
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Managed Streaming for Apache Kafka (Amazon MSK). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker
**Exigences associées :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::MSK::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cela permet de vérifier si un cluster Amazon MSK est chiffré en transit avec le protocole HTTPS (TLS) entre les nœuds courtiers du cluster. Le contrôle échoue si la communication en texte brut est activée pour une connexion à un nœud de cluster broker.
Le protocole HTTPS offre un niveau de sécurité supplémentaire car il utilise le protocole TLS pour déplacer les données et peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Par défaut, Amazon MSK chiffre les données en transit avec le protocole TLS. Toutefois, vous pouvez annuler cette valeur par défaut au moment de créer le cluster. Nous recommandons d'utiliser des connexions chiffrées via HTTPS (TLS) pour les connexions aux nœuds de courtage.
### Correction
Pour plus d'informations sur la mise à jour des paramètres de chiffrement d'un cluster Amazon MSK, consultez la section [Mise à jour des paramètres de sécurité d'un cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) dans le manuel *Amazon Managed Streaming for Apache Kafka* Developer Guide.
## [MSK.2] La surveillance améliorée des clusters MSK doit être configurée
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :** `AWS::MSK::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon MSK dispose d'une surveillance améliorée configurée, spécifiée par un niveau de surveillance d'au moins`PER_TOPIC_PER_BROKER`. Le contrôle échoue si le niveau de surveillance du cluster est défini sur `DEFAULT` ou`PER_BROKER`.
Le niveau `PER_TOPIC_PER_BROKER` de surveillance fournit des informations plus détaillées sur les performances de votre cluster MSK et fournit également des mesures relatives à l'utilisation des ressources, telles que l'utilisation du processeur et de la mémoire. Cela vous permet d'identifier les obstacles aux performances et les modèles d'utilisation des ressources pour des sujets et des courtiers individuels. Cette visibilité peut à son tour optimiser les performances de vos courtiers Kafka.
### Correction
Pour configurer la surveillance améliorée pour un cluster MSK, procédez comme suit :
1. Vous voulez ouvrir la console Amazon MSK à la [https://console.aws.amazon.com/msk/maison ? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. Dans le panneau de navigation, choisissez **Clusters**. Choisissez ensuite un cluster.
1. Pour **Action**, sélectionnez **Modifier la surveillance**.
1. Sélectionnez l'option « Surveillance **thématique améliorée ».**
1. Sélectionnez **Enregistrer les modifications**.
Pour plus d'informations sur les niveaux de surveillance, consultez les [métriques Amazon MSK relatives à la surveillance des courtiers standard CloudWatch](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) dans le guide du développeur *Amazon Managed Streaming for Apache Kafka*.
## [MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
**Exigences associées :** PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::KafkaConnect::Connector`
**AWS Config règle :** `msk-connect-connector-encrypted` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un connecteur Amazon MSK Connect est chiffré pendant le transport. Ce contrôle échoue si le connecteur n'est pas chiffré pendant le transport.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
Vous pouvez activer le chiffrement en transit lorsque vous créez un connecteur MSK Connect. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un connecteur. Pour plus d'informations, consultez la section [Créer un connecteur](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) dans le guide du *développeur Amazon Managed Streaming for Apache Kafka*.
## [MSK.4] L'accès public aux clusters MSK doit être désactivé
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::MSK::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès public est désactivé pour un cluster Amazon MSK. Le contrôle échoue si l'accès public est activé pour le cluster MSK.
Par défaut, les clients peuvent accéder à un cluster Amazon MSK uniquement s'ils se trouvent dans le même VPC que le cluster. Toutes les communications entre les clients Kafka et un cluster MSK sont privées par défaut et les données en streaming ne transitent pas par Internet. Toutefois, si un cluster MSK est configuré pour autoriser l'accès public, n'importe qui sur Internet peut établir une connexion avec les courtiers Apache Kafka qui s'exécutent au sein du cluster. Cela peut entraîner des problèmes tels qu'un accès non autorisé, des violations de données ou l'exploitation de vulnérabilités. Si vous limitez l'accès à un cluster en exigeant des mesures d'authentification et d'autorisation, vous pouvez contribuer à protéger les informations sensibles et à préserver l'intégrité de vos ressources.
### Correction
Pour plus d'informations sur la gestion de l'accès public à un cluster Amazon MSK, consultez la section [Activer l'accès public à un cluster MSK provisioned](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) dans le guide du développeur *Amazon Managed Streaming for Apache* Kafka.
## [MSK.5] La journalisation des connecteurs MSK doit être activée
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::KafkaConnect::Connector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour un connecteur Amazon MSK. Le contrôle échoue si la journalisation est désactivée pour le connecteur MSK.
Les connecteurs Amazon MSK intègrent des systèmes externes et des services Amazon à Apache Kafka en copiant en continu les données de streaming d'une source de données vers un cluster Apache Kafka, ou en copiant en continu les données d'un cluster vers un récepteur de données. MSK Connect peut écrire des événements de journal qui peuvent aider à déboguer un connecteur. Lorsque vous créez un connecteur, vous pouvez spécifier au moins zéro des destinations de journal suivantes : Amazon CloudWatch Logs, Amazon S3 et Amazon Data Firehose.
**Note**
Des valeurs de configuration sensibles peuvent apparaître dans les journaux des connecteurs si un plugin ne définit pas ces valeurs comme secrètes. Kafka Connect traite les valeurs de configuration non définies de la même manière que toute autre valeur en texte brut.
### Correction
Pour activer la journalisation pour un connecteur Amazon MSK existant, vous devez recréer le connecteur avec la configuration de journalisation appropriée. Pour plus d'informations sur les options de configuration, consultez la section [Logging for MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) du manuel *Amazon Managed Streaming for Apache Kafka* Developer Guide.
## [MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::MSK::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès non authentifié est activé pour un cluster Amazon MSK. Le contrôle échoue si l'accès non authentifié est activé pour le cluster MSK.
Amazon MSK prend en charge les mécanismes d'authentification et d'autorisation des clients pour contrôler l'accès à un cluster. Ces mécanismes vérifient l'identité des clients qui se connectent au cluster et déterminent les actions que les clients peuvent effectuer. Un cluster MSK peut être configuré pour autoriser un accès non authentifié, ce qui permet à tout client connecté au réseau de publier des sujets Kafka et de s'y abonner sans fournir d'informations d'identification. L'exécution d'un cluster MSK sans authentification enfreint le principe du moindre privilège et peut exposer le cluster à un accès non autorisé. Il peut permettre à n'importe quel client d'accéder, de modifier ou de supprimer des données dans les rubriques Kafka, ce qui peut entraîner des violations de données, des modifications non autorisées des données ou des interruptions de service. Nous recommandons d'activer les mécanismes d'authentification tels que l'authentification IAM, le SASL/SCRAM ou le protocole TLS mutuel pour garantir un contrôle d'accès approprié et garantir la conformité en matière de sécurité.
### Correction
Pour plus d'informations sur la modification des paramètres d'authentification d'un cluster Amazon MSK, consultez les sections suivantes du guide du *développeur Amazon Managed Streaming for Apache Kafka* [: Mettre à jour les paramètres de sécurité d'un cluster Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) [et Authentification et autorisation](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) pour Apache Kafka. APIs
# Contrôles Security Hub CSPM pour Amazon MQ
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon MQ. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
**Exigences connexes :** NIST.800-53.R5 AU-2, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-12, NIST.800-53.R5 SI-4, PCI DSS v4.0.1/10.3.3
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::AmazonMQ::Broker`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un courtier Amazon MQ ActiveMQ diffuse des journaux d'audit vers Amazon Logs. CloudWatch Le contrôle échoue si le broker ne diffuse pas les journaux d'audit vers CloudWatch Logs.
En publiant les journaux des courtiers ActiveMQ dans Logs CloudWatch , vous pouvez CloudWatch créer des alarmes et des mesures qui augmentent la visibilité des informations relatives à la sécurité.
### Correction
*Pour diffuser les journaux du courtier ActiveMQ CloudWatch vers des journaux, consultez la section Configuration d'[Amazon MQ pour les journaux ActiveMQ dans le guide du développeur Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*
## [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
**Important**
Security Hub CSPM a retiré ce contrôle en janvier 2026. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences connexes :** NIST.800-53.R5 CM-3, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::AmazonMQ::Broker`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée chez un courtier Amazon MQ. Le contrôle échoue si le broker n'a pas activé la mise à niveau automatique des versions mineures.
À mesure qu'Amazon MQ publie et prend en charge de nouvelles versions du moteur de courtage, les modifications sont rétrocompatibles avec une application existante et ne déprécient pas les fonctionnalités existantes. Les mises à jour automatiques des versions du moteur de courtage vous protègent contre les risques de sécurité, aident à corriger les bogues et améliorent les fonctionnalités.
**Note**
Lorsque le broker associé à la mise à niveau automatique des versions mineures utilise son dernier correctif et n'est plus pris en charge, vous devez effectuer une action manuelle pour effectuer la mise à niveau.
### Correction
Pour activer la mise à niveau automatique de la version mineure pour un courtier MQ, consultez la section [Mise à niveau automatique de la version mineure du moteur](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) dans le manuel *Amazon MQ Developer* Guide.
## [MQ.4] Les courtiers Amazon MQ doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::AmazonMQ::Broker`
**AWS Config règle :** `tagged-amazonmq-broker` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un courtier Amazon MQ possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le broker ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le broker n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un courtier Amazon MQ, consultez les [ressources de balisage](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) dans le manuel *Amazon* MQ Developer Guide.
## [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité : ** Faible
**Type de ressource :** `AWS::AmazonMQ::Broker`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le mode de déploiement d'un broker Amazon MQ ActiveMQ est défini sur actif/en veille. Le contrôle échoue si un broker à instance unique (activé par défaut) est défini comme mode de déploiement.
Le déploiement actif/en veille assure une haute disponibilité à vos courtiers Amazon MQ ActiveMQ dans un. Région AWS Le mode de déploiement actif/en veille inclut deux instances de courtier situées dans deux zones de disponibilité différentes, configurées dans une paire redondante. Ces courtiers communiquent de manière synchrone avec votre application, ce qui peut réduire les temps d'arrêt et les pertes de données en cas de panne.
### Correction
*Pour créer un nouveau courtier ActiveMQ en mode déploiement, [consultez la section Création et configuration d'un courtier active/standby ActiveMQ dans le manuel Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html) Developer Guide.* Pour le **mode de déploiement**, choisissez **Active/Standby Broker**. Vous ne pouvez pas modifier le mode de déploiement d'un broker existant. Au lieu de cela, vous devez créer un nouveau courtier et copier les paramètres de l'ancien courtier.
## [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité : ** Faible
**Type de ressource :** `AWS::AmazonMQ::Broker`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le mode de déploiement d'un courtier Amazon MQ RabbitMQ est défini sur le déploiement en cluster. Le contrôle échoue si un broker à instance unique (activé par défaut) est défini comme mode de déploiement.
Le déploiement en cluster offre une haute disponibilité à vos courtiers Amazon MQ RabbitMQ dans un. Région AWS Le déploiement du cluster est un regroupement logique de trois nœuds de courtage RabbitMQ, chacun possédant son propre volume Amazon Elastic Block Store (Amazon EBS) et un état partagé. Le déploiement du cluster garantit que les données sont répliquées sur tous les nœuds du cluster, ce qui peut réduire les temps d'arrêt et les pertes de données en cas de panne.
### Correction
*Pour créer un nouveau courtier RabbitMQ avec le mode de déploiement en cluster, consultez la section [Création et connexion à un courtier RabbitMQ dans le guide du développeur Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html).* Pour **le mode de déploiement**, choisissez **Déploiement en cluster**. Vous ne pouvez pas modifier le mode de déploiement d'un broker existant. Au lieu de cela, vous devez créer un nouveau courtier et copier les paramètres de l'ancien courtier.
# Contrôles Security Hub CSPM pour Neptune
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Neptune.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Neptune est chiffré au repos. Le contrôle échoue si un cluster de base de données Neptune n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder. Le chiffrement de vos clusters de base de données Neptune protège vos données et métadonnées contre tout accès non autorisé. Il répond également aux exigences de conformité relatives au data-at-rest chiffrement des systèmes de fichiers de production.
### Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster de base de données Neptune. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section [Chiffrer les ressources Neptune au repos dans le Guide](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html) de l'utilisateur de *Neptune*.
## [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-4 (5), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Neptune publie des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si un cluster de base de données Neptune ne publie pas les journaux d'audit dans Logs. CloudWatch `EnableCloudWatchLogsExport`doit être réglé sur`Audit`.
Amazon Neptune et Amazon CloudWatch sont intégrés afin que vous puissiez recueillir et analyser les indicateurs de performance. Neptune envoie automatiquement des métriques aux alarmes CloudWatch et les prend également en charge CloudWatch . Les journaux d'audit sont hautement personnalisables. Lorsque vous auditez une base de données, chaque opération sur les données peut être surveillée et enregistrée dans une piste d'audit, y compris des informations sur le cluster de base de données auquel on accède et comment. Nous vous recommandons d'envoyer ces journaux pour vous aider CloudWatch à surveiller vos clusters de base de données Neptune.
### Correction
*Pour publier les journaux d'audit Neptune dans Logs, consultez la section Publication CloudWatch des [journaux Neptune sur Amazon Logs CloudWatch dans le guide de l'utilisateur](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html) de Neptune.* Dans la section **Exportations de journaux**, choisissez **Audit**.
## [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané manuel du cluster de base de données Neptune est public. Le contrôle échoue si un instantané manuel du cluster de base de données Neptune est public.
Un instantané manuel d'un cluster de base de données Neptune ne doit pas être public, sauf indication contraire. Si vous partagez un instantané manuel non chiffré en tant que public, l'instantané est accessible à tous Comptes AWS. Les instantanés publics peuvent entraîner une exposition involontaire des données.
### Correction
*Pour supprimer l'accès public aux instantanés manuels de cluster de bases de données Neptune, consultez la section [Partage d'un instantané de cluster](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) de base de données dans le guide de l'utilisateur de Neptune.*
## [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un cluster de base de données Neptune. Le contrôle échoue si la protection contre la suppression n'est pas activée sur un cluster de base de données Neptune.
L'activation de la protection contre la suppression de clusters offre un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par un utilisateur non autorisé. Un cluster de base de données Neptune ne peut pas être supprimé tant que la protection contre la suppression est activée. Vous devez d'abord désactiver la protection contre la suppression pour qu'une demande de suppression puisse aboutir.
### Correction
Pour activer la protection contre la suppression pour un cluster de base de données Neptune existant, consultez la section [Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) dans le guide de l'*utilisateur Amazon Aurora*.
## [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées
**Exigences connexes :** NIST.800-53.R5 SI-12
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Durée minimale de conservation des sauvegardes en jours | Entier | `7` sur `35` | `7` |
Ce contrôle vérifie si les sauvegardes automatisées sont activées dans un cluster de base de données Neptune et si la période de conservation des sauvegardes est supérieure ou égale à la période spécifiée. Le contrôle échoue si les sauvegardes ne sont pas activées pour le cluster de base de données Neptune ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub CSPM utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et à renforcer la résilience de vos systèmes. En automatisant les sauvegardes de vos clusters de base de données Neptune, vous serez en mesure de restaurer vos systèmes à un moment précis et de minimiser les temps d'arrêt et les pertes de données.
### Correction
Pour activer les sauvegardes automatisées et définir une période de conservation des sauvegardes pour vos clusters de base de données Neptune, consultez la section [Activation des sauvegardes automatisées](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) dans le guide de l'utilisateur *Amazon RDS.* Pour **la période de conservation des sauvegardes**, choisissez une valeur supérieure ou égale à 7.
## [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-7 (18)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané du cluster de base de données Neptune est chiffré au repos. Le contrôle échoue si un cluster de base de données Neptune n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé y accède. Les données contenues dans les instantanés des clusters de base de données Neptune doivent être chiffrées au repos pour renforcer la sécurité.
### Correction
Vous ne pouvez pas chiffrer un instantané de cluster de base de données Neptune existant. Au lieu de cela, vous devez restaurer le snapshot sur un nouveau cluster de base de données et activer le chiffrement sur le cluster. Vous pouvez créer un instantané chiffré à partir du cluster chiffré. Pour obtenir des instructions, reportez-vous aux sections [Restauration à partir d'un instantané de cluster](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) de base de données et [Création d'un instantané de cluster de base de données dans Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) dans le guide de l'utilisateur de *Neptune*.
## [Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification de base de données IAM est activée dans un cluster de base de données Neptune. Le contrôle échoue si l'authentification de base de données IAM n'est pas activée pour un cluster de base de données Neptune.
L'authentification de base de données IAM pour les clusters de bases de données Amazon Neptune élimine le besoin de stocker les informations d'identification des utilisateurs dans la configuration de la base de données, car l'authentification est gérée en externe à l'aide d'IAM. Lorsque l'authentification de base de données IAM est activée, chaque demande doit être signée à l'aide de AWS la version 4 de Signature.
### Correction
Par défaut, l'authentification de base de données IAM est désactivée lorsque vous créez un cluster de base de données Neptune. Pour l'activer, consultez la section [Activation de l'authentification de base de données IAM dans Neptune dans](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) le guide de l'utilisateur de *Neptune*.
## [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Neptune est configuré pour copier toutes les balises dans les instantanés lors de leur création. Le contrôle échoue si un cluster de base de données Neptune n'est pas configuré pour copier des balises dans des instantanés.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez étiqueter les instantanés de la même manière que leurs clusters de base de données Amazon RDS parents. La copie des balises garantit que les métadonnées des instantanés de base de données correspondent à celles des clusters de base de données parents et que les politiques d'accès à l'instantané de base de données correspondent également à celles de l'instance de base de données parent.
### Correction
Pour copier des balises dans des instantanés pour les clusters de base de données Neptune, [consultez la section Copier des balises dans Neptune dans le guide de *l'*utilisateur de Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview).
## [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Neptune possède des instances de réplication en lecture dans plusieurs zones de disponibilité (). AZs Le contrôle échoue si le cluster est déployé dans une seule zone de disponibilité.
Si une AZ n'est pas disponible et lors d'événements de maintenance réguliers, les répliques en lecture servent de cibles de basculement pour l'instance principale. En d'autres termes, si l'instance principale échoue, Neptune promeut une instance de réplica en lecture au statut d'instance principale. En revanche, si votre cluster de bases de données n'inclut aucune instance de réplica en lecture, le cluster de bases de données reste indisponible en cas de défaillance de l'instance principale tant qu'elle n'a pas été recréée. La recréation de l'instance principale prend beaucoup plus de temps que la promotion d'un réplica en lecture. Pour garantir une haute disponibilité, nous vous recommandons de créer une ou plusieurs instances en lecture répliquée ayant la même classe d'instance de base de données que l'instance principale et situées dans une autre instance AZs que l'instance principale.
### Correction
*Pour déployer un cluster de base de données Neptune en plusieurs exemplaires AZs, consultez la section Instances de base de [données Replica dans un cluster de base de données Neptune dans le guide de l'utilisateur de Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*
# Contrôles Security Hub CSPM pour AWS Network Firewall
Ces AWS Security Hub CSPM contrôles évaluent le AWS Network Firewall service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle évalue si un pare-feu géré par le biais AWS Network Firewall est déployé sur plusieurs zones de disponibilité (AZs). Le contrôle échoue si un pare-feu est déployé dans une seule zone de disponibilité.
AWS l'infrastructure mondiale comprend plusieurs Régions AWS. AZs sont des sites isolés et physiquement séparés au sein de chaque région, connectés par un réseau à faible latence, à haut débit et hautement redondant. En déployant un pare-feu Network Firewall sur plusieurs sites AZs, vous pouvez équilibrer et transférer le trafic entre eux AZs, ce qui vous permet de concevoir des solutions à haute disponibilité.
### Correction
**Déploiement d'un pare-feu Network Firewall sur plusieurs AZs**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sous **Network Firewall**, sélectionnez **Firewalls**.
1. Sur la page **Pare-feu**, sélectionnez le pare-feu que vous souhaitez modifier.
1. Sur la page des détails du pare-feu, choisissez l'onglet **Détails du pare-feu**.
1. **Dans la section **Politique associée et VPC**, choisissez Modifier**
1. Pour ajouter un nouvel AZ, choisissez **Ajouter un nouveau sous-réseau**. Sélectionnez l'AZ et le sous-réseau que vous souhaitez utiliser. Assurez-vous d'en sélectionner au moins deux AZs.
1. Choisissez **Enregistrer**.
## [NetworkFirewall.2] La journalisation du Network Firewall doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::LoggingConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la journalisation n'est pas activée pour au moins un type de journal ou si la destination de journalisation n'existe pas.
La journalisation vous aide à maintenir la fiabilité, la disponibilité et les performances de vos pare-feux. Dans Network Firewall, la journalisation fournit des informations détaillées sur le trafic réseau, notamment l'heure à laquelle le moteur dynamique a reçu un flux de paquets, des informations détaillées sur le flux de paquets et toute action de règle dynamique prise à l'encontre du flux de paquets.
### Correction
Pour activer la journalisation pour un pare-feu, consultez la section [Mise à jour de la configuration de journalisation d'un pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) dans le *Guide du AWS Network Firewall développeur*.
## [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.13.1
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une politique Network Firewall est associée à des groupes de règles avec ou sans état. Le contrôle échoue si aucun groupe de règles apatride ou dynamique n'est attribué.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon Virtual Private Cloud (Amazon VPC). La configuration de groupes de règles apatrides et dynamiques permet de filtrer les paquets et les flux de trafic et de définir la gestion du trafic par défaut.
### Correction
Pour ajouter un groupe de règles à une politique de Network Firewall, consultez la section [Mise à jour d'une politique de pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) dans le *Guide du AWS Network Firewall développeur*. Pour plus d'informations sur la création et la gestion de groupes de règles, consultez la section [Groupes de règles dans AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).
## [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets complets dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si `Drop` ou `Forward` est sélectionné, et échoue s'il `Pass` est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut `Pass` peut autoriser le trafic involontaire.
### Correction
Pour modifier votre politique de pare-feu, consultez la section [Mise à jour d'une politique de pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) dans le *Guide du AWS Network Firewall développeur*. Pour les **actions par défaut sans état**, choisissez **Modifier**. Choisissez ensuite Supprimer ou **Transférer** **vers des groupes de règles dynamiques** en tant qu'**action**.
## [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.1.14, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.13.6
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets fragmentés dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si `Drop` ou `Forward` est sélectionné, et échoue s'il `Pass` est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut `Pass` peut autoriser le trafic involontaire.
### Correction
Pour modifier votre politique de pare-feu, consultez la section [Mise à jour d'une politique de pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) dans le *Guide du AWS Network Firewall développeur*. Pour les **actions par défaut sans état**, choisissez **Modifier**. Choisissez ensuite Supprimer ou **Transférer** **vers des groupes de règles dynamiques** en tant qu'**action**.
## [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.14, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.13.6
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::RuleGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de règles AWS Network Firewall apatrides contient des règles. Le contrôle échoue s'il n'existe aucune règle dans le groupe de règles.
Un groupe de règles contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles apatrides vide, lorsqu'il est présent dans une politique de pare-feu, peut donner l'impression que le groupe de règles traitera le trafic. Toutefois, lorsque le groupe de règles apatrides est vide, il ne traite pas le trafic.
### Correction
Pour ajouter des règles à votre groupe de règles Network Firewall, consultez la section [Mise à jour d'un groupe de règles dynamique](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) dans le *Guide du AWS Network Firewall développeur*. Sur la page des détails du pare-feu, pour le **groupe de règles Stateless**, choisissez **Modifier** pour ajouter des règles.
## [NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**AWS Config règle :** `tagged-networkfirewall-firewall` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS Network Firewall pare-feu possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le pare-feu ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le pare-feu n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un pare-feu Network Firewall, consultez les [AWS Network Firewall ressources relatives au balisage](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) dans le *Guide du AWS Network Firewall développeur*.
## [NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config règle :** `tagged-networkfirewall-firewallpolicy` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une politique de AWS Network Firewall pare-feu comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la politique de pare-feu ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la politique de pare-feu n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une politique de Network Firewall, consultez les [AWS Network Firewall ressources relatives au balisage](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) dans le *Guide du AWS Network Firewall développeur*.
## [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un AWS Network Firewall pare-feu. Le contrôle échoue si la protection contre la suppression n'est pas activée pour un pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique et un service de détection des intrusions qui vous permet d'inspecter et de filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPCs). Le paramètre de protection contre la suppression protège contre la suppression accidentelle du pare-feu.
### Correction
Pour activer la protection contre la suppression sur un pare-feu Network Firewall existant, consultez la section [Mise à jour d'un pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) dans le *manuel du AWS Network Firewall développeur*. Pour les **protections contre les modifications**, sélectionnez **Activer**. Vous pouvez également activer la protection contre la suppression en appelant l'[ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API et en définissant le `DeleteProtection` champ sur. `true`
## [NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les modifications de sous-réseau est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la protection contre les modifications de sous-réseau n'est pas activée pour le pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique ainsi qu'un service de détection des intrusions que vous pouvez utiliser pour inspecter et filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPCs). Si vous activez la protection contre les modifications de sous-réseau pour un pare-feu Network Firewall, vous pouvez protéger le pare-feu contre les modifications accidentelles des associations de sous-réseaux du pare-feu.
### Correction
Pour plus d'informations sur l'activation de la protection contre les modifications de sous-réseau pour un pare-feu Network Firewall existant, consultez la section [Mise à jour d'un pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) dans le *Guide du AWS Network Firewall développeur*.
# Contrôles Security Hub CSPM pour Amazon Service OpenSearch
Ces AWS Security Hub CSPM contrôles évaluent le OpenSearch service et les ressources Amazon OpenSearch Service (Service). Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.R5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la encryption-at-rest configuration des OpenSearch domaines est activée. La vérification échoue si le chiffrement au repos n'est pas activé.
Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine de OpenSearch service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, vous AWS KMS stockez et gérez vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits (AES-256).
Pour en savoir plus sur le chiffrement des OpenSearch services au repos, consultez la section [Chiffrement des données au repos pour Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) dans le manuel *Amazon OpenSearch Service* *Developer Guide*.
### Correction
Pour activer le chiffrement au repos pour les OpenSearch domaines nouveaux et existants, consultez la section [Activation du chiffrement des données au repos](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3), (4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Critique
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les OpenSearch domaines se trouvent dans un VPC. Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public.
Vous devez vous assurer que OpenSearch les domaines ne sont pas attachés à des sous-réseaux publics. Consultez les [politiques basées sur les ressources](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) dans le manuel Amazon OpenSearch Service Developer Guide. Vous devez également garantir que votre VPC est configuré conformément aux bonnes pratiques recommandées. Consultez les [meilleures pratiques de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) dans le guide de l'utilisateur Amazon VPC.
OpenSearch les domaines déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le AWS réseau privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. VPCs fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux OpenSearch domaines, notamment les ACL réseau et les groupes de sécurité. Security Hub vous recommande de migrer OpenSearch les domaines publics VPCs pour tirer parti de ces contrôles.
### Correction
Si vous créez un domaine avec un point de terminaison public, vous ne pouvez pas ultérieurement le placer au sein d'un VPC. Au lieu de cela, vous devez créer un nouveau domaine et migrer vos données. L’inverse est également vrai. Si vous créez un domaine dans un VPC, il ne peut pas avoir de point de terminaison public. Au lieu de cela, vous devez [créer un autre domaine](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) ou désactiver ce contrôle.
Pour obtenir des instructions, consultez la section [Lancement de vos domaines Amazon OpenSearch Service au sein d'un VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le node-to-node chiffrement est activé dans les OpenSearch domaines. Ce contrôle échoue si node-to-node le chiffrement est désactivé sur le domaine.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau en utilisant des attaques similaires. person-in-the-middle Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du node-to-node chiffrement pour OpenSearch les domaines garantit que les communications intra-cluster sont chiffrées en transit.
Cette configuration peut entraîner une baisse des performances. Vous devez connaître le compromis entre les performances et le tester avant d'activer cette option.
### Correction
Pour activer le node-to-node chiffrement sur un OpenSearch domaine, consultez la section [Activation du node-to-node chiffrement](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `logtype = 'error'`(non personnalisable)
Ce contrôle vérifie si OpenSearch les domaines sont configurés pour envoyer des journaux d'erreurs à CloudWatch Logs. Ce contrôle échoue si la journalisation des erreurs n' CloudWatch est pas activée pour un domaine.
Vous devez activer les journaux d'erreurs pour OpenSearch les domaines et les envoyer à CloudWatch Logs pour les conserver et y répondre. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
### Correction
Pour activer la publication des journaux, consultez la section [Activation de la publication des journaux (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `cloudWatchLogsLogGroupArnList`(non personnalisable) — Security Hub CSPM ne renseigne pas ce paramètre. Liste séparée par des CloudWatch virgules des groupes de journaux qui doivent être configurés pour les journaux d'audit.
Ce contrôle vérifie si la journalisation des audits est activée dans les OpenSearch domaines. Ce contrôle échoue si la journalisation des audits n'est pas activée pour un OpenSearch domaine.
Les journaux d'audit sont hautement personnalisables. Ils vous permettent de suivre l'activité des utilisateurs sur vos OpenSearch clusters, notamment les réussites et les échecs d'authentification, les demandesOpenSearch, les modifications d'index et les requêtes de recherche entrantes.
### Correction
Pour obtenir des instructions sur l'activation des journaux d'audit, consultez la section [Activation des journaux d'audit](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si OpenSearch les domaines sont configurés avec au moins trois nœuds de données et `zoneAwarenessEnabled` s'ils le sont`true`. Ce contrôle échoue pour un OpenSearch domaine s'il `instanceCount` est inférieur à 3 ou s'il `zoneAwarenessEnabled` est inférieur à 3`false`.
Pour atteindre une haute disponibilité et une tolérance aux pannes au niveau du cluster, un OpenSearch domaine doit comporter au moins trois nœuds de données. Le déploiement d'un OpenSearch domaine comportant au moins trois nœuds de données garantit les opérations du cluster en cas de défaillance d'un nœud.
### Correction
**Pour modifier le nombre de nœuds de données dans un OpenSearch domaine**
1. Connectez-vous à la AWS console et ouvrez la console Amazon OpenSearch Service à l'adresse [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Sous **Mes domaines**, choisissez le nom du domaine à modifier, puis sélectionnez **Modifier**.
1. Sous **Nœuds de données**, définissez **Nombre de nœuds** sur un nombre supérieur à`3`. Si vous effectuez un déploiement dans trois zones de disponibilité, définissez le nombre sur un multiple de trois pour garantir une répartition égale entre les zones de disponibilité.
1. Sélectionnez **Soumettre**.
## Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
**Catégorie : Protection** > Gestion des accès sécurisés > Actions d'API sensibles restreintes
**Gravité :** Élevée
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le contrôle d'accès détaillé est activé dans les OpenSearch domaines. Le contrôle échoue si le contrôle d'accès détaillé n'est pas activé. Le contrôle d'accès précis nécessite que `advanced-security-options` le OpenSearch paramètre soit `update-domain-config` activé.
Le contrôle d'accès précis offre des moyens supplémentaires de contrôler l'accès à vos données sur Amazon OpenSearch Service.
### Correction
*Pour activer le contrôle d'accès détaillé, consultez la section Contrôle d'[accès détaillé dans Amazon Service OpenSearch dans le manuel Amazon Service Developer](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) Guide. OpenSearch *
## [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`(non personnalisable)
Cela permet de vérifier si un point de terminaison de domaine Amazon OpenSearch Service est configuré pour utiliser la dernière politique de sécurité TLS. Le contrôle échoue si le point de terminaison du OpenSearch domaine n'est pas configuré pour utiliser la dernière politique prise en charge ou s'il HTTPs n'est pas activé.
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS. TLS 1.2 apporte plusieurs améliorations de sécurité par rapport aux versions précédentes de TLS.
### Correction
Pour activer le chiffrement TLS, utilisez l'opération [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API. Configurez le [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)champ pour spécifier la valeur pour`TLSSecurityPolicy`. Pour plus d'informations, consultez la section sur le [Node-to-node chiffrement](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## Les OpenSearch domaines [Opensearch.9] doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::OpenSearch::Domain`
**AWS Config règle :** `tagged-opensearch-domain` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un domaine Amazon OpenSearch Service possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le domaine ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le domaine n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un domaine OpenSearch de service, consultez la section [Utilisation des balises](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la dernière mise à jour logicielle est installée sur un domaine Amazon OpenSearch Service. Le contrôle échoue si une mise à jour logicielle est disponible mais n'est pas installée pour le domaine.
OpenSearch Les mises à jour du logiciel de service fournissent les derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement. L'installation up-to-date continue des correctifs permet de garantir la sécurité et la disponibilité du domaine. Si aucune action n'est entreprise sur les mises à jour requises, le logiciel de service est mis à jour automatiquement (généralement au bout de 2 semaines). Nous recommandons de planifier les mises à jour en période de faible trafic vers le domaine afin de minimiser les interruptions de service.
### Correction
Pour installer des mises à jour logicielles pour un OpenSearch domaine, consultez [Démarrer une mise à jour](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) dans le manuel *Amazon OpenSearch Service Developer Guide*.
## [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.R5 SI-13
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité : ** Faible
**Type de ressource :** `AWS::OpenSearch::Domain`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un domaine Amazon OpenSearch Service est configuré avec au moins trois nœuds principaux dédiés. Le contrôle échoue si le domaine possède moins de trois nœuds principaux dédiés.
OpenSearch Le service utilise des nœuds principaux dédiés pour améliorer la stabilité du cluster. Un nœud principal dédié exécute les tâches de gestion du cluster, mais ne contient pas de données et ne répond pas aux demandes de téléchargement de données. Nous vous recommandons d'utiliser le mode Multi-AZ en mode veille, qui ajoute trois nœuds principaux dédiés à chaque OpenSearch domaine de production.
### Correction
Pour modifier le nombre de nœuds principaux d'un OpenSearch domaine, consultez la section [Création et gestion de domaines Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) dans le manuel *Amazon OpenSearch Service Developer Guide*.
# Contrôles Security Hub CSPM pour AWS CA privée
Ces AWS Security Hub CSPM contrôles évaluent le service AWS Autorité de certification privée (AWS CA privée) et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::ACMPCA::CertificateAuthority`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si AWS CA privée une autorité de certification racine (CA) est désactivée. Le contrôle échoue si l'autorité de certification racine est activée.
Avec AWS CA privée, vous pouvez créer une hiérarchie de CA qui inclut une autorité de certification racine et une autorité subordonnée. CAs Vous devez minimiser l'utilisation de l'autorité de certification racine pour les tâches quotidiennes, en particulier dans les environnements de production. L'autorité de certification racine ne doit être utilisée que pour délivrer des certificats pour les intermédiaires CAs. Cela permet à l'autorité de certification racine d'être stockée à l'abri du danger pendant que l'intermédiaire CAs effectue la tâche quotidienne d'émission des certificats d'entité finale.
### Correction
Pour désactiver l'autorité de certification racine, consultez la section [Mettre à jour le statut de l'autorité de certification](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) dans le *guide de AWS Autorité de certification privée l'utilisateur*.
## [PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::ACMPCA::CertificateAuthority`
**Règle AWS Config :** `acmpca-certificate-authority-tagged`
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une autorité de certification AWS privée CA possède des balises avec les clés spécifiques définies dans le paramètre`requiredKeyTags`. Le contrôle échoue si l'autorité de certification ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredKeyTags`. Si le paramètre `requiredKeyTags` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'autorité de certification n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, consultez la section [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Meilleures pratiques et stratégies](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
### Correction
Pour ajouter des balises à une autorité de certification AWS privée, voir [Ajouter des balises pour votre autorité de certification privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) dans le *guide de AWS Autorité de certification privée l'utilisateur*.
# Contrôles Security Hub CSPM pour Amazon RDS
Ces AWS Security Hub CSPM contrôles évaluent les ressources Amazon Relational Database Service (Amazon RDS) et Amazon RDS. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [RDS.1] L'instantané RDS doit être privé
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3), (4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :**`AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instantanés Amazon RDS sont publics. Le contrôle échoue si les instantanés RDS sont publics. Ce contrôle évalue les instances RDS, les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB.
Les instantanés RDS sont utilisés pour sauvegarder les données sur vos instances RDS à un moment donné. Ils peuvent être utilisés pour restaurer les états précédents des instances RDS.
Un instantané RDS ne doit pas être public si ce n’est pas prévu. Si vous partagez un instantané manuel non chiffré en tant que public, cela le rend accessible à tous Comptes AWS. Cela peut entraîner une exposition involontaire des données de votre instance RDS.
Notez que si la configuration est modifiée pour autoriser l'accès public, la AWS Config règle risque de ne pas être en mesure de détecter le changement avant 12 heures. Tant que la AWS Config règle ne détecte pas le changement, le contrôle est réussi même si la configuration enfreint la règle.
Pour en savoir plus sur le partage d'un instantané de base de données, consultez la section [Partage d'un instantané](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) de base de données dans le *guide de l'utilisateur Amazon RDS*.
### Correction
Pour supprimer l'accès public aux instantanés RDS, consultez la section [Partage d'un instantané](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) dans le guide de l'utilisateur *Amazon RDS.* Pour la **visibilité des instantanés** de base de données, nous choisissons **Private**.
## [RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/2.2.3, CIS AWS Foundations Benchmark v3.0.0/2.3.3,, (21), (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7, PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4, DSS 3.2.1/1.3.6, PCI DSS 3.2.1/7.2.1, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instances Amazon RDS sont accessibles au public en évaluant le `PubliclyAccessible` champ dans l'élément de configuration de l'instance.
Les instances de base de données Neptune et les clusters Amazon DocumentDB n'ont pas cet indicateur et ne `PubliclyAccessible` peuvent pas être évalués. Cependant, ce contrôle peut toujours générer des résultats pour ces ressources. Vous pouvez supprimer ces résultats.
La valeur `PubliclyAccessible` de la configuration de l'instance RDS indique si l'instance DB est publiquement accessible. Lorsque l'instance de base de données est configuré avec la valeur `PubliclyAccessible`, il s'agit d'une instance connectée à Internet avec un nom DNS qui peut être publiquement résolu, qui correspond à une adresse IP publique. Lorsque l'instance de base de données n'est pas accessible publiquement, il s'agit d'une instance interne avec un nom DNS qui correspond à une adresse IP privée.
À moins que vous ne souhaitiez que votre instance RDS soit accessible au public, l'instance RDS ne doit pas être configurée avec une `PubliclyAccessible` valeur. Cela risque d'entraîner un trafic inutile vers votre instance de base de données.
### Correction
Pour supprimer l'accès public aux instances de base de données RDS, consultez la section [Modification d'une instance de base de données Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) dans le guide de l'*utilisateur Amazon RDS.* Pour **l'accès public**, choisissez **Non**.
## [RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.3.1, CIS Foundations Benchmark v1.4.0/2.3.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.R5 AWS SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du stockage est activé pour vos instances de base de données Amazon RDS.
Ce contrôle est destiné aux instances de base de données RDS. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
Pour une couche de sécurité supplémentaire pour vos données sensibles dans les instances DB RDS, vous devez configurer ces dernières pour qu'elles soient chiffrées au repos. Pour chiffrer vos instances et vos instantanés de base de données RDS au repos, activez l'option de chiffrement pour vos instances de base de données RDS. Les données qui sont chiffrées au repos incluent le stockage sous-jacent pour des instance DB, les sauvegardes automatisées, les réplicas en lecture et les instantanés.
Les instances de base de données RDS chiffrées utilisent l'algorithme de chiffrement AES-256 standard pour chiffrer vos données sur le serveur qui héberge vos instances de base de données RDS. Une fois vos données chiffrées, Amazon RDS gère l'authentification de l'accès et le déchiffrement de vos données de manière transparente avec un impact minimal sur les performances. Vous n'avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement.
Le chiffrement Amazon RDS est actuellement disponible pour tous les moteurs de base de données et types de stockage. Le chiffrement Amazon RDS est disponible pour la plupart des classes d’instance de base de données. Pour en savoir plus sur les classes d'instances de base de données qui ne prennent pas en charge le chiffrement Amazon RDS, consultez la section [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) dans le guide de l'utilisateur *Amazon RDS*.
### Correction
Pour plus d'informations sur le chiffrement des instances de base de données dans Amazon RDS, consultez la section [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) dans le guide de l'utilisateur *Amazon* RDS.
## [RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :**`AWS::RDS::DBClusterSnapshot`, ` AWS::RDS::DBSnapshot`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un instantané de base de données RDS est chiffré. Le contrôle échoue si un instantané de base de données RDS n'est pas chiffré.
Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instantanés des instances de base de données Aurora, des instances de base de données Neptune et des clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. Les données contenues dans les instantanés RDS doivent être chiffrées au repos pour renforcer la sécurité.
### Correction
Pour chiffrer un instantané RDS, consultez la section [Chiffrer les ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) dans le guide de l'utilisateur *Amazon* RDS. Lorsque vous chiffrez une instance de base de données RDS, les données chiffrées incluent le stockage sous-jacent de l'instance, ses sauvegardes automatisées, ses répliques de lecture et ses instantanés.
Vous ne pouvez chiffrer une instance de base de données RDS que lorsque vous la créez, et non une fois l'instance de base de données créée. Cependant, parce que vous pouvez chiffrer une copie d’un instantané non chiffré, vous pouvez ajouter le chiffrement efficacement à une instance de base de données non chiffrée. Autrement dit, vous pouvez créer un instantané de votre instance de base de données et ensuite créer une copie chiffrée de l’instantané. Vous pouvez ensuite restaurer une instance de base de données à partir de l’instantané chiffré et vous aurez une copie chiffrée de votre instance de base de données d’origine.
## [RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la haute disponibilité est activée pour vos instances de base de données RDS. Le contrôle échoue si une instance de base de données RDS n'est pas configurée avec plusieurs zones de disponibilité (AZs). Ce contrôle ne s'applique pas aux instances de base de données RDS qui font partie d'un déploiement de cluster de base de données multi-AZ.
La configuration des instances de base de données Amazon RDS AZs permet de garantir la disponibilité des données stockées. Les déploiements multi-AZ permettent un basculement automatique en cas de problème de disponibilité de l'AZ et lors de la maintenance régulière du RDS.
### Correction
Pour déployer vos instances de base de données en plusieurs AZs, [modifiez une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) dans le guide de l'*utilisateur Amazon RDS*.
## [RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `monitoringInterval` | Nombre de secondes entre les intervalles de collecte des métriques de surveillance | Enum | `1`, `5`, `10`, `15`, `30`, `60` | Aucune valeur par défaut |
Ce contrôle vérifie si la surveillance améliorée est activée pour une instance de base de données Amazon Relational Database Service (Amazon RDS). Le contrôle échoue si la surveillance améliorée n'est pas activée pour l'instance. Si vous fournissez une valeur personnalisée pour le `monitoringInterval` paramètre, le contrôle est effectué uniquement si des mesures de surveillance améliorées sont collectées pour l'instance à l'intervalle spécifié.
Dans Amazon RDS, la surveillance améliorée permet de réagir plus rapidement aux changements de performances de l'infrastructure sous-jacente. Ces modifications des performances peuvent entraîner un manque de disponibilité des données. La surveillance améliorée fournit des mesures en temps réel du système d'exploitation sur lequel s'exécute votre instance de base de données RDS. Un agent est installé sur l'instance. L'agent peut obtenir des métriques avec plus de précision que ce n'est possible à partir de la couche hyperviseur.
Les métriques de la surveillance améliorée sont utiles pour évaluer l'utilisation de l'UC par différents processus ou threads sur une instance de base de données. Pour de plus amples informations sur la surveillance améliorée, veuillez consulter la rubrique [Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) (Surveillance améliorée) dans le *Guide de l'utilisateur Amazon RDS*.
### Correction
Pour obtenir des instructions détaillées sur l'activation de la surveillance améliorée pour votre instance de base de données, consultez la section [Configuration et activation de la surveillance améliorée](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) dans le *guide de l'utilisateur Amazon RDS*.
## [RDS.7] La protection contre la suppression des clusters RDS doit être activée
**Exigences connexes :** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un cluster de base de données RDS. Le contrôle échoue si la protection contre la suppression n'est pas activée sur un cluster de base de données RDS.
Ce contrôle est destiné aux instances de base de données RDS. Cependant, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer.
L'activation de la protection contre la suppression de clusters constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.
Lorsque la protection contre la suppression est activée, un cluster RDS ne peut pas être supprimé. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.
### Correction
Pour activer la protection contre la suppression pour un cluster de base de données RDS, consultez la section [Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) dans le guide de l'*utilisateur Amazon RDS*. Pour la **protection contre la suppression**, choisissez **Activer la protection contre la suppression**.
## [RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée
**Exigences connexes :** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (non personnalisable)
Ce contrôle vérifie si la protection contre les suppressions est activée sur vos instances de base de données RDS qui utilisent l'un des moteurs de base de données répertoriés. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une instance de base de données RDS.
L'activation de la protection contre la suppression d'instance constitue un niveau de protection supplémentaire contre la suppression accidentelle de la base de données ou la suppression par une entité non autorisée.
Lorsque la protection contre la suppression est activée, une instance de base de données RDS ne peut pas être supprimée. Pour qu'une demande de suppression puisse aboutir, la protection contre la suppression doit être désactivée.
### Correction
Pour activer la protection contre la suppression pour une instance de base de données RDS, consultez la section [Modification d'une instance de base de données Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) dans le guide de l'*utilisateur Amazon RDS.* Pour la **protection contre la suppression**, choisissez **Activer la protection contre la suppression**.
## [RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance de base de données Amazon RDS est configurée pour publier les journaux suivants sur Amazon CloudWatch Logs. Le contrôle échoue si l'instance n'est pas configurée pour publier les journaux suivants dans CloudWatch Logs :
+ Oracle : alerte, audit, suivi, écouteur
+ PostgreSQL : PostgreSQL, mise à niveau
+ MySQL : audit, erreur, général, SlowQuery
+ MariaDB : audit, erreur, général, SlowQuery
+ SQL Server : erreur, agent
+ Aurora : audit, erreur, général, SlowQuery
+ Aurora-MySQL : audit, erreur, général, SlowQuery
+ Aurora-PostgreSQL : PostgreSQL
Les journaux pertinents doivent être activés dans les bases de données RDS. La journalisation de la base de données fournit des enregistrements détaillés des demandes adressées à RDS. Les journaux de base de données peuvent faciliter les audits de sécurité et d'accès et peuvent aider à diagnostiquer les problèmes de disponibilité.
### Correction
Pour plus d'informations sur la publication des journaux de base de données RDS dans CloudWatch Logs, consultez [la section Spécification des CloudWatch journaux à publier dans Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) dans le guide de l'*utilisateur Amazon RDS*.
## [RDS.10] L'authentification IAM doit être configurée pour les instances RDS
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification de base de données IAM est activée sur une instance de base de données RDS. Le contrôle échoue si l'authentification IAM n'est pas configurée pour les instances de base de données RDS. Ce contrôle évalue uniquement les instances RDS dotées des types de moteurs suivants :`mysql`,,`postgres`, `aurora` `aurora-mysql``aurora-postgresql`, et. `mariadb` Une instance RDS doit également être dans l'un des états suivants pour qu'une recherche soit générée :`available`, `backing-up``storage-optimization`, ou`storage-full`.
L'authentification de base de données IAM permet d'authentifier les instances de base de données à l'aide d'un jeton d'authentification au lieu d'un mot de passe. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide du protocole SSL. Pour de plus amples informations, veuillez consulter [Authentification de base de données IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) dans le *Guide de l'utilisateur Amazon Aurora*.
### Correction
Pour activer l'authentification de base de données IAM sur une instance de base de données RDS, consultez la section [Activation et désactivation de l'authentification de base de données IAM dans](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) le guide de l'utilisateur *Amazon* RDS.
## [RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `backupRetentionMinimum` | Durée minimale de conservation des sauvegardes en jours | Entier | `7` sur `35` | `7` |
| `checkReadReplicas` | Vérifie si les sauvegardes des instances de base de données RDS sont activées pour les répliques en lecture | Booléen | Non personnalisable | `false` |
Ce contrôle vérifie si les sauvegardes automatisées sont activées sur une instance Amazon Relational Database Service et si la période de conservation des sauvegardes est supérieure ou égale à la période spécifiée. Les répliques de lecture sont exclues de l'évaluation. Le contrôle échoue si les sauvegardes ne sont pas activées pour l'instance ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des sauvegardes, Security Hub CSPM utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité et renforcent la résilience de vos systèmes. Amazon RDS vous permet de configurer des instantanés quotidiens du volume complet de l'instance. Pour plus d'informations sur les sauvegardes automatisées Amazon RDS, consultez [Working with Backups](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) dans le guide de l'*utilisateur Amazon RDS*.
### Correction
Pour activer les sauvegardes automatisées sur une instance de base de données RDS, consultez la section [Activation des sauvegardes automatisées](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) dans le guide de l'*utilisateur Amazon RDS*.
## [RDS.12] L'authentification IAM doit être configurée pour les clusters RDS
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'authentification de base de données IAM est activée sur un cluster de base de données Amazon RDS.
L'authentification de base de données IAM permet une authentification sans mot de passe pour les instances de base de données. L'authentification utilise un jeton d'authentification. Le trafic réseau à destination et en provenance de la base de données est crypté à l'aide du protocole SSL. Pour de plus amples informations, veuillez consulter [Authentification de base de données IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) dans le *Guide de l'utilisateur Amazon Aurora*.
### Correction
Pour activer l'authentification IAM pour un cluster de base de données, consultez la section [Activation et désactivation de l'authentification de base de données IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) dans le guide de l'utilisateur *Amazon Aurora*.
## [RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.2.2, CIS AWS Foundations Benchmark v3.0.0/2.3.2, Nist.800-53.R5 SI-2, Nist.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Élevée
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les mises à niveau automatiques des versions mineures sont activées pour l'instance de base de données RDS.
Les mises à niveau automatiques des versions mineures mettent régulièrement à jour une base de données vers les versions récentes du moteur de base de données. Toutefois, la mise à niveau n’inclut pas toujours la dernière version du moteur de base de données. Si vous devez conserver des versions spécifiques de vos bases de données à un moment donné, nous vous recommandons de procéder à une mise à niveau manuelle vers les versions de base de données dont vous avez besoin conformément au calendrier requis. En cas de problèmes de sécurité critiques ou lorsqu'une version atteint sa end-of-support date limite, Amazon RDS peut appliquer une mise à niveau de version mineure même si vous n'avez pas activé l'option de **mise à niveau automatique de la version mineure**. Pour plus d'informations, consultez la documentation de mise à niveau d'Amazon RDS pour votre moteur de base de données spécifique :
+ [Mises à niveau automatiques des versions mineures pour RDS pour MariaDB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Mises à niveau automatiques des versions mineures pour RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Mises à niveau automatiques des versions mineures pour RDS pour PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Versions de DB2 sur Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Mises à niveau des versions mineures d'Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Mises à niveau du moteur de base de données Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)
### Correction
Pour activer les mises à niveau automatiques de versions mineures pour une instance de base de données existante, consultez la section [Modification d'une instance de base de données Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) dans le guide de l'*utilisateur Amazon RDS*. Pour la **mise à niveau automatique de la version mineure**, sélectionnez **Oui**.
## [RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora
**Exigences connexes :** NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `BacktrackWindowInHours` | Nombre d'heures nécessaires pour effectuer le suivi d'un cluster Aurora MySQL | Double | `0.1` sur `72` | Aucune valeur par défaut |
Ce contrôle vérifie si le retour en arrière est activé sur un cluster Amazon Aurora. Le contrôle échoue si le retour en arrière n'est pas activé sur le cluster. Si vous fournissez une valeur personnalisée pour le `BacktrackWindowInHours` paramètre, le contrôle est transféré uniquement si le cluster fait l'objet d'un retour en arrière pendant la durée spécifiée.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. Le retour en arrière d'Aurora réduit le délai de restauration d'une base de données à un point précis dans le temps. Pour ce faire, il n'est pas nécessaire de restaurer la base de données.
### Correction
Pour activer le retour en arrière sur Aurora, consultez [la section Configuration du retour arrière dans](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) le guide de l'*utilisateur Amazon Aurora*.
Notez que vous ne pouvez pas activer le retour en arrière sur un cluster existant. Au lieu de cela, vous pouvez créer un clone sur lequel le retour en arrière est activé. Pour plus d'informations sur les limites du retour en arrière d'Aurora, consultez la liste des limitations dans [Vue d'ensemble du retour en arrière](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html).
## [RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/2.2.4, NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la haute disponibilité est activée pour vos clusters de base de données RDS. Le contrôle échoue si un cluster de base de données RDS n'est pas déployé dans plusieurs zones de disponibilité (AZs).
Les clusters de base de données RDS doivent être configurés pour plusieurs AZs afin de garantir la disponibilité des données stockées. Le déploiement sur plusieurs AZs sites permet un basculement automatique en cas de problème de disponibilité de l'AZ et lors d'événements de maintenance RDS réguliers.
### Correction
Pour déployer vos clusters de base de données en plusieurs AZs, [modifiez une instance de base de données pour en faire un déploiement d'instance de base de données multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) dans le guide de l'*utilisateur Amazon RDS*.
Les étapes de correction diffèrent pour les bases de données globales Aurora. Pour configurer plusieurs zones de disponibilité pour une base de données globale Aurora, sélectionnez votre cluster de base de données. Choisissez ensuite **Actions** et **Ajouter un lecteur**, puis spécifiez plusieurs AZs. Pour plus d'informations, consultez la section [Ajouter des répliques Aurora à un cluster](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) de bases de données dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier - Inventaire
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle :** `rds-cluster-copy-tags-to-snapshots-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Aurora est configuré pour copier automatiquement les balises dans les instantanés du cluster de base de données lorsque les instantanés sont créés. Le contrôle échoue si le cluster de base de données Aurora n'est pas configuré pour copier automatiquement les balises dans les instantanés du cluster lors de leur création.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur tous vos clusters de bases de données Amazon Aurora afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures pour remédier aux points faibles potentiels. Les instantanés de base de données Aurora doivent avoir les mêmes balises que leurs clusters de base de données parents. Dans Amazon Aurora, vous pouvez configurer un cluster de base de données pour copier automatiquement toutes les balises du cluster dans des instantanés du cluster. L'activation de ce paramètre garantit que les instantanés de base de données héritent des mêmes balises que leurs clusters de base de données parents.
### Correction
Pour plus d'informations sur la configuration d'un cluster de base de données Amazon Aurora pour copier automatiquement des balises dans des instantanés de base de données, consultez la section [Modification d'un cluster de base de données Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html) dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
**Catégorie :** Identifier - Inventaire
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle :** `rds-instance-copy-tags-to-snapshots-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instances de base de données RDS sont configurées pour copier toutes les balises dans les instantanés lors de leur création.
L'identification et l'inventaire de vos actifs informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité sur toutes vos instances de base de données RDS afin de pouvoir évaluer leur niveau de sécurité et prendre des mesures sur les points faibles potentiels. Les instantanés doivent être balisés de la même manière que leurs instances de base de données RDS parentes. L'activation de ce paramètre garantit que les instantanés héritent des balises de leurs instances de base de données parentes.
### Correction
Pour copier automatiquement les balises dans les instantanés d'une instance de base de données RDS, consultez la section [Modification d'une instance de base de données Amazon RDS dans le guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) de l'utilisateur *Amazon RDS*. Sélectionnez **Copier les balises dans les instantanés**.
## [RDS.18] Les instances RDS doivent être déployées dans un VPC
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Élevée
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle :** `rds-deployed-in-vpc` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance Amazon RDS est déployée sur un EC2-VPC.
Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux ressources RDS. Ces contrôles incluent les points de terminaison VPC, les ACL réseau et les groupes de sécurité. Pour tirer parti de ces contrôles, nous vous recommandons de créer vos instances RDS sur un EC2-VPC.
### Correction
Pour obtenir des instructions sur le déplacement d'instances RDS vers un VPC, [consultez la section Mise à jour du VPC pour une instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) de base de données dans le guide de l'utilisateur *Amazon* RDS.
## [RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::EventSubscription`
**AWS Config règle :** `rds-cluster-event-notifications-configured` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un abonnement aux événements Amazon RDS existant pour les clusters de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :
```
DBCluster: ["maintenance","failure"]
```
Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section [Utilisation des notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) dans le guide de l'utilisateur *Amazon RDS.*
### Correction
Pour vous abonner aux notifications d'événements du cluster RDS, consultez la section [S'abonner aux notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) dans le guide de l'utilisateur *Amazon RDS*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Source type (Type de source) | Clusters |
| Clusters à inclure | Tous les clusters |
| Catégories d'événements à inclure | Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
## [RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::EventSubscription`
**AWS Config règle :** `rds-instance-event-notifications-configured` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un abonnement aux événements Amazon RDS existant pour les instances de base de données comporte des notifications activées pour les paires clé-valeur du type de source et de la catégorie d'événement suivantes :
```
DBInstance: ["maintenance","configuration change","failure"]
```
Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section [Utilisation des notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) dans le guide de l'utilisateur *Amazon RDS.*
### Correction
Pour vous abonner aux notifications d'événements d'instance RDS, consultez la section [S'abonner aux notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) dans le guide de l'utilisateur *Amazon RDS*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Source type (Type de source) | instances |
| Instances à inclure | Toutes les instances |
| Catégories d'événements à inclure | Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
## [RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::EventSubscription`
**AWS Config règle :** `rds-pg-event-notifications-configured` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe un abonnement aux événements Amazon RDS avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement. Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
```
DBParameterGroup: ["configuration change"]
```
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section [Utilisation des notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) dans le guide de l'utilisateur *Amazon RDS.*
### Correction
Pour vous abonner aux notifications d'événements de groupes de paramètres de base de données RDS, consultez la section [Abonnement aux notifications d'événements Amazon RDS dans le guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) de l'utilisateur *Amazon RDS*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Source type (Type de source) | Groupes de paramètres |
| Groupes de paramètres à inclure | Tous les groupes de paramètres |
| Catégories d'événements à inclure | Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
## [RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, PCI DSS v4.0.1/11.5.2
**Catégorie :** Détecter > Services de détection > Surveillance des applications
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::EventSubscription`
**AWS Config règle :** `rds-sg-event-notifications-configured` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe un abonnement aux événements Amazon RDS avec les notifications activées pour les paires clé-valeur suivantes : type de source, catégorie d'événement. Le contrôle est transféré s'il n'y a aucun abonnement à un événement existant dans votre compte.
```
DBSecurityGroup: ["configuration change","failure"]
```
Les notifications d'événements RDS utilisent Amazon SNS pour vous informer des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent une réponse rapide. Pour plus d'informations sur les notifications d'événements RDS, consultez la section [Utilisation des notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) dans le guide de l'utilisateur *Amazon RDS.*
### Correction
Pour vous abonner aux notifications d'événements d'instance RDS, consultez la section [S'abonner aux notifications d'événements Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) dans le guide de l'utilisateur *Amazon RDS*. Utilisez les valeurs suivantes :
| Champ | Value |
| --- | --- |
| Source type (Type de source) | Groupes de sécurité |
| Groupes de sécurité à inclure | Tous les groupes de sécurité |
| Catégories d'événements à inclure | Sélectionnez des catégories d'événements spécifiques ou toutes les catégories d'événements |
## [RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle :** `rds-no-default-ports` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster ou une instance RDS utilise un port autre que le port par défaut du moteur de base de données. Le contrôle échoue si le cluster ou l'instance RDS utilise le port par défaut. Ce contrôle ne s'applique pas aux instances RDS qui font partie d'un cluster.
Si vous utilisez un port connu pour déployer un cluster ou une instance RDS, un attaquant peut deviner des informations sur le cluster ou l'instance. L'attaquant peut utiliser ces informations conjointement avec d'autres informations pour se connecter à un cluster ou à une instance RDS ou obtenir des informations supplémentaires sur votre application.
Lorsque vous modifiez le port, vous devez également mettre à jour les chaînes de connexion existantes qui ont été utilisées pour vous connecter à l'ancien port. Vous devez également vérifier le groupe de sécurité de l'instance de base de données pour vous assurer qu'il inclut une règle d'entrée qui autorise la connectivité sur le nouveau port.
### Correction
Pour modifier le port par défaut d'une instance de base de données RDS existante, consultez la section [Modification d'une instance de base de données Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) dans le guide de l'utilisateur *Amazon RDS.* Pour modifier le port par défaut d'un cluster de base de données RDS existant, consultez la section [Modification du cluster de base de données à l'aide de la console, de la CLI et de l'API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) dans le *guide de l'utilisateur Amazon Aurora*. Pour le **port de base de données**, remplacez la valeur du port par une valeur autre que celle par défaut.
## [RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de bases de données Amazon RDS a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB). Cette règle échouera si le nom d'utilisateur de l'administrateur est défini sur la valeur par défaut.
Lorsque vous créez une base de données Amazon RDS, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la création de la base de données RDS. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.
### Correction
Pour modifier le nom d'utilisateur d'administrateur associé au cluster de bases de données Amazon RDS, [créez un nouveau cluster de base de données RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) et modifiez le nom d'utilisateur d'administrateur par défaut lors de la création de la base de données.
## [RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/2.2.2
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si vous avez modifié le nom d'utilisateur administratif des instances de base de données Amazon Relational Database Service (Amazon RDS) par rapport à la valeur par défaut. Le contrôle échoue si le nom d'utilisateur administratif est défini sur la valeur par défaut. Le contrôle ne s'applique pas aux moteurs du type neptune (Neptune DB) ou docdb (DocumentDB), ni aux instances RDS qui font partie d'un cluster.
Les noms d'utilisateur administratifs par défaut sur les bases de données Amazon RDS sont de notoriété publique. Lorsque vous créez une base de données Amazon RDS, vous devez remplacer le nom d'utilisateur administratif par défaut par une valeur unique afin de réduire le risque d'accès involontaire.
### Correction
Pour modifier le nom d'utilisateur administratif associé à une instance de base de données RDS, [créez d'abord une nouvelle instance de base de données RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Modifiez le nom d'utilisateur administratif par défaut lors de la création de la base de données.
## [RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | Le contrôle produit un `PASSED` résultat si le paramètre est défini sur true et si la ressource utilise AWS Backup Vault Lock. | Booléen | `true` ou `false` | Aucune valeur par défaut |
Ce contrôle évalue si les instances de base de données Amazon RDS sont couvertes par un plan de sauvegarde. Ce contrôle échoue si l'instance de base de données RDS n'est pas couverte par un plan de sauvegarde. Si vous définissez le `backupVaultLockCheck` paramètre égal à`true`, le contrôle est transféré uniquement si l'instance est sauvegardée dans un coffre-fort AWS Backup verrouillé.
**Note**
Ce contrôle n'évalue pas les instances de Neptune et DocumentDB. Il n'évalue pas non plus les instances de base de données RDS membres d'un cluster.
AWS Backup est un service de sauvegarde entièrement géré qui centralise et automatise la sauvegarde des données d'un bout à l'autre. Services AWS Avec AWS Backup, vous pouvez créer des politiques de sauvegarde appelées plans de sauvegarde. Vous pouvez utiliser ces plans pour définir vos besoins en matière de sauvegarde, notamment la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. L'inclusion d'instances de base de données RDS dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
### Correction
Pour ajouter une instance de base de données RDS à un plan de AWS Backup sauvegarde, consultez la section [Affectation de ressources à un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) dans le Guide du *AWS Backup développeur*.
## [RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données RDS est chiffré au repos. Le contrôle échoue si un cluster de base de données RDS n'est pas chiffré au repos.
Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder. Le chiffrement de vos clusters de base de données RDS protège vos données et métadonnées contre tout accès non autorisé. Il répond également aux exigences de conformité relatives au data-at-rest chiffrement des systèmes de fichiers de production.
### Correction
Vous pouvez activer le chiffrement au repos lorsque vous créez un cluster de base de données RDS. Vous ne pouvez pas modifier les paramètres de chiffrement après avoir créé un cluster. Pour plus d'informations, consultez la section [Chiffrement d'un cluster de base de données Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.28] Les clusters de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle :** `tagged-rds-dbcluster` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un cluster de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le cluster de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un cluster de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBClusterSnapshot`
**AWS Config règle :** `tagged-rds-dbclustersnapshot` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un instantané de cluster de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le snapshot du cluster de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le snapshot du cluster de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un instantané de cluster de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.30] Les instances de base de données RDS doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBInstance`
**AWS Config règle :** `tagged-rds-dbinstance` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une instance de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'instance de base de données ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance de base de données n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une instance de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBSecurityGroup`
**AWS Config règle :** `tagged-rds-dbsecuritygroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sécurité de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le groupe de sécurité de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sécurité de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un groupe de sécurité de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.32] Les instantanés de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBSnapshot`
**AWS Config règle :** `tagged-rds-dbsnapshot` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un instantané de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le snapshot de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le snapshot de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un instantané de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon RDS*.
## [RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBSubnetGroup`
**AWS Config règle :** `tagged-rds-dbsubnetgroups` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de sous-réseaux de base de données Amazon RDS possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le groupe de sous-réseaux de base de données ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux de base de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un groupe de sous-réseaux de base de données RDS, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur *Amazon* RDS.
## [RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Aurora MySQL est configuré pour publier des journaux d'audit sur Amazon CloudWatch Logs. Le contrôle échoue si le cluster n'est pas configuré pour publier les journaux d'audit dans CloudWatch Logs. Le contrôle ne génère pas de résultats pour les clusters de base de données Aurora Serverless v1.
Les journaux d'audit enregistrent l'activité de la base de données, y compris les tentatives de connexion, les modifications de données, les modifications de schéma et d'autres événements pouvant être audités à des fins de sécurité et de conformité. Lorsque vous configurez un cluster de base de données Aurora MySQL pour publier des journaux d'audit dans un groupe de CloudWatch journaux dans Amazon Logs, vous pouvez effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dans CloudWatch.
**Note**
Une autre méthode pour publier les journaux d'audit dans Logs consiste à CloudWatch activer l'audit avancé et à définir le paramètre de base de données au niveau du cluster sur. `server_audit_logs_upload` `1` La valeur par défaut `server_audit_logs_upload parameter` est`0`. Toutefois, nous vous recommandons d'utiliser plutôt les instructions de correction suivantes pour passer ce contrôle.
### Correction
Pour publier les journaux d'audit du cluster de bases de données Aurora MySQL dans CloudWatch Logs, consultez la section [Publication des journaux Amazon Aurora MySQL sur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée
**Exigences connexes :** NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée pour un cluster de base de données Amazon RDS Multi-AZ. Le contrôle échoue si la mise à niveau automatique des versions mineures n'est pas activée pour le cluster de base de données multi-AZ.
RDS fournit une mise à niveau automatique des versions mineures afin que vous puissiez maintenir votre cluster de base de données multi-AZ à jour. Les versions mineures peuvent introduire de nouvelles fonctionnalités logicielles, des corrections de bogues, des correctifs de sécurité et des améliorations de performances. En activant la mise à niveau automatique des versions mineures sur les clusters de bases de données RDS, le cluster, ainsi que les instances du cluster, recevront des mises à jour automatiques de la version mineure lorsque de nouvelles versions seront disponibles. Les mises à jour sont appliquées automatiquement pendant la fenêtre de maintenance.
### Correction
Pour activer la mise à niveau automatique des versions mineures sur les clusters de base de données multi-AZ, consultez la section [Modification d'un cluster de base de données multi-AZ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) dans le guide de l'*utilisateur Amazon RDS.*
## [RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `logTypes` | Liste séparée par des virgules des types de journaux à publier dans Logs CloudWatch | StringList | Non personnalisable | `postgresql` |
Ce contrôle vérifie si une instance de base de données Amazon RDS pour PostgreSQL est configurée pour publier des journaux sur Amazon Logs. CloudWatch Le contrôle échoue si l'instance de base de données PostgreSQL n'est pas configurée pour publier les types de journaux mentionnés dans `logTypes` le paramètre dans Logs. CloudWatch
La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à une instance RDS. PostgreSQL génère des journaux d'événements qui contiennent des informations utiles pour les administrateurs. La publication de ces CloudWatch journaux dans Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dansCloudWatch.
### Correction
*Pour publier les journaux des instances de base de données PostgreSQL dans Logs, consultez CloudWatch la section [Publication des journaux PostgreSQL sur Amazon Logs dans le guide de l'utilisateur CloudWatch Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs).*
## [RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon Aurora PostgreSQL est configuré pour publier des journaux sur Amazon Logs. CloudWatch Le contrôle échoue si le cluster de base de données Aurora PostgreSQL n'est pas configuré pour publier les journaux PostgreSQL dans Logs. CloudWatch
La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à un cluster RDS. Aurora PostgreSQL génère des journaux d'événements contenant des informations utiles pour les administrateurs. La publication de ces CloudWatch journaux dans Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. Vous pouvez également créer des alarmes et consulter les métriques dans CloudWatch.
### Correction
*Pour publier les journaux CloudWatch du cluster de base de données Aurora PostgreSQL dans Logs, consultez la section Publication des journaux [Aurora PostgreSQL sur Amazon Logs dans le guide de l'utilisateur CloudWatch Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html).*
## [RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une connexion à une instance Amazon RDS for PostgreSQL de base de données (DB) est chiffrée en transit. Le contrôle échoue si le `rds.force_ssl` paramètre du groupe de paramètres associé à l'instance est défini sur `0` (off). Ce contrôle n'évalue pas les instances de base de données RDS qui font partie d'un cluster de base de données.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
*Pour exiger que toutes les connexions à votre instance de base de données RDS pour PostgreSQL utilisent le protocole SSL, [consultez la section Utilisation du protocole SSL avec une instance de base de données PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html) dans le guide de l'utilisateur Amazon RDS.*
## [RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une connexion à une instance Amazon RDS for MySQL de base de données (DB) est chiffrée en transit. Le contrôle échoue si le `rds.require_secure_transport` paramètre du groupe de paramètres associé à l'instance est défini sur `0` (off). Ce contrôle n'évalue pas les instances de base de données RDS qui font partie d'un cluster de base de données.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
Pour exiger que toutes les connexions à votre instance de base de données RDS for MySQL utilisent le protocole SSL, consultez le [support SSL/TLS pour les instances de base de données MySQL sur Amazon RDS dans le guide de l'utilisateur *Amazon* RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html).
## [RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `logTypes` | Liste des types de journaux qu'une instance de base de données RDS pour SQL Server doit être configurée pour publier dans CloudWatch Logs. Ce contrôle échoue si une instance de base de données n'est pas configurée pour publier un type de journal spécifié dans la liste. | EnumList (maximum de 2 articles) | `agent`, `error` | `agent`, `error` |
Ce contrôle vérifie si une instance de base de données Amazon RDS pour Microsoft SQL Server est configurée pour publier des journaux sur CloudWatch Amazon Logs. Le contrôle échoue si l'instance de base de données RDS pour SQL Server n'est pas configurée pour publier les journaux dans CloudWatch Logs. Vous pouvez éventuellement spécifier les types de journaux qu'une instance de base de données doit être configurée pour publier.
La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à une instance de base de données Amazon RDS. La publication des CloudWatch journaux dans Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. CloudWatch Logs conserve les journaux dans un espace de stockage très durable. En outre, vous pouvez l'utiliser pour créer des alarmes pour des erreurs spécifiques susceptibles de se produire, telles que des redémarrages fréquents enregistrés dans un journal des erreurs. De même, vous pouvez créer des alarmes pour les erreurs ou les avertissements enregistrés dans les journaux de l'agent SQL Server relatifs aux tâches de l'agent SQL.
### Correction
Pour plus d'informations sur la publication de journaux dans les CloudWatch journaux d'une instance de base de données RDS pour SQL Server, consultez les fichiers [journaux de base de données Amazon RDS for Microsoft SQL Server dans *le guide de l'utilisateur d'Amazon Relational* Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) Service.
## [RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une connexion à une instance de base de données Amazon RDS pour Microsoft SQL Server est chiffrée en transit. Le contrôle échoue si le `rds.force_ssl` paramètre du groupe de paramètres associé à l'instance de base de données est défini sur`0 (off)`.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds d'un cluster de base de données ou entre un cluster de base de données et une application cliente. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque que des utilisateurs non autorisés écoutent le trafic réseau.
### Correction
Pour plus d'informations sur l'activation SSL/TLS des connexions aux instances de base de données Amazon RDS exécutant Microsoft SQL Server, consultez la section [Utilisation du protocole SSL avec une instance de base de données Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) dans le guide de l'*utilisateur d'Amazon Relational Database Service*.
## [RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), (10) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `logTypes` | Liste des types de journaux qu'une instance de base de données MariaDB doit être configurée pour publier dans Logs. CloudWatch Le contrôle génère un `FAILED` résultat si une instance de base de données n'est pas configurée pour publier un type de journal spécifié dans la liste. | EnumList (maximum de 4 articles) | `audit`, `error`, `general`, `slowquery` | `audit, error` |
Ce contrôle vérifie si une instance de base de données Amazon RDS for MariaDB est configurée pour publier certains types de journaux sur Amazon Logs. CloudWatch Le contrôle échoue si l'instance de base de données MariaDB n'est pas configurée pour publier les journaux dans Logs. CloudWatch Vous pouvez éventuellement spécifier les types de journaux qu'une instance de base de données MariaDB doit être configurée pour publier.
La journalisation de base de données fournit des enregistrements détaillés des demandes adressées à une instance de base de données Amazon RDS for MariaDB. La publication des CloudWatch journaux sur Amazon Logs centralise la gestion des journaux et vous permet d'effectuer une analyse en temps réel des données des journaux. En outre, CloudWatch Logs conserve les journaux dans un espace de stockage durable, qui peut prendre en charge les examens et audits de sécurité, d'accès et de disponibilité. Avec CloudWatch Logs, vous pouvez également créer des alarmes et consulter les métriques.
### Correction
*Pour plus d'informations sur la configuration d'une instance de base de données Amazon RDS pour MariaDB afin de publier des journaux sur Amazon Logs, [consultez la section Publication de journaux MariaDB CloudWatch sur Amazon Logs dans CloudWatch le guide de l'utilisateur d'Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html) Database Service.*
## [RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBProxy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un proxy de base de données Amazon RDS nécessite le protocole TLS pour toutes les connexions entre le proxy et l'instance de base de données RDS sous-jacente. Le contrôle échoue si le proxy n'exige pas le protocole TLS pour toutes les connexions entre le proxy et l'instance de base de données RDS.
Amazon RDS Proxy peut servir de couche de sécurité supplémentaire entre les applications clientes et les instances de base de données RDS sous-jacentes. Par exemple, vous pouvez vous connecter à un proxy RDS à l'aide de TLS 1.3, même si l'instance de base de données sous-jacente prend en charge une ancienne version de TLS. En utilisant le proxy RDS, vous pouvez appliquer des exigences d'authentification strictes pour les applications de base de données.
### Correction
Pour plus d'informations sur la modification des paramètres d'un proxy Amazon RDS afin d'exiger le protocole TLS, consultez la section [Modification d'un proxy RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) dans le guide de l'utilisateur d'*Amazon Relational Database Service*.
## [RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les connexions à une instance de base de données Amazon RDS for MariaDB sont chiffrées en transit. Le contrôle échoue si le groupe de paramètres de base de données associé à l'instance de base de données n'est pas synchronisé ou si le `require_secure_transport` paramètre du groupe de paramètres n'est pas défini sur`ON`.
**Note**
Ce contrôle n'évalue pas les instances de base de données Amazon RDS qui utilisent des versions de MariaDB antérieures à la version 10.5. Le `require_secure_transport` paramètre n'est pris en charge que pour les versions 10.5 et ultérieures de MariaDB.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds d'un cluster de base de données ou entre un cluster de base de données et une application cliente. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque que des utilisateurs non autorisés écoutent le trafic réseau.
### Correction
*Pour plus d'informations sur l'activation SSL/TLS des connexions à une instance de base de données Amazon RDS pour MariaDB[, SSL/TLS consultez la section Exiger toutes les connexions à une instance de base de données MariaDB dans le guide de l'utilisateur d'Amazon Relational](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) Database Service.*
## [RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des audits est activée sur un cluster de bases de données Amazon Aurora MySQL. Le contrôle échoue si le groupe de paramètres de base de données associé au cluster de base de données n'est pas synchronisé, si le `server_audit_logging` paramètre n'est pas défini sur ou si le `server_audit_events` paramètre est défini sur une valeur vide. `1`
Les journaux de base de données peuvent faciliter les audits de sécurité et d'accès et aider à diagnostiquer les problèmes de disponibilité. Les journaux d'audit enregistrent l'activité de la base de données, y compris les tentatives de connexion, les modifications de données, les modifications de schéma et d'autres événements pouvant être audités à des fins de sécurité et de conformité.
### Correction
Pour plus d'informations sur l'activation de la journalisation pour un cluster de bases de données Amazon Aurora MySQL, consultez la section [Publication des journaux Amazon Aurora MySQL sur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) dans le *guide de l'utilisateur Amazon Aurora*.
## [RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::RDS::DBInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si une instance de base de données Amazon RDS est déployée dans un sous-réseau public doté d'une route vers une passerelle Internet. Le contrôle échoue si l'instance de base de données RDS est déployée dans un sous-réseau doté d'une route vers une passerelle Internet et que la destination est définie sur ou. `0.0.0.0/0` `::/0`
En provisionnant vos ressources Amazon RDS dans des sous-réseaux privés, vous pouvez empêcher vos ressources RDS de recevoir du trafic entrant depuis l'Internet public, ce qui peut empêcher tout accès involontaire à vos instances de base de données RDS. Si les ressources RDS sont provisionnées dans un sous-réseau public ouvert à Internet, elles peuvent être vulnérables à des risques tels que l'exfiltration de données.
### Correction
Pour plus d'informations sur le provisionnement d'un sous-réseau privé pour une instance de base de données Amazon RDS, consultez la section [Utilisation d'une instance de base de données dans un VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) dans le guide de l'utilisateur d'*Amazon Relational Database Service*.
## [RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon RDS pour PostgreSQL est configuré pour copier automatiquement des balises dans les instantanés du cluster de bases de données lors de leur création. Le contrôle échoue si le `CopyTagsToSnapshot` paramètre est défini sur `false` pour le cluster de base de données RDS pour PostgreSQL.
La copie de balises dans des instantanés de base de données permet de garantir un suivi des ressources, une gouvernance et une répartition des coûts appropriés entre les ressources de sauvegarde. Cela permet une identification cohérente des ressources, un contrôle d'accès et une surveillance de la conformité à la fois sur les bases de données actives et sur leurs instantanés. Les snapshots correctement balisés améliorent les opérations de sécurité en garantissant que les ressources de sauvegarde héritent des mêmes métadonnées que leurs bases de données sources.
### Correction
Pour plus d'informations sur la configuration d'un cluster de base de données Amazon RDS pour PostgreSQL afin de copier automatiquement les balises dans les instantanés de base de données, [consultez la section Marquage des ressources Amazon RDS dans le guide de l'utilisateur d'Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) *Relational* Database Service.
## [RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster de base de données Amazon RDS for MySQL est configuré pour copier automatiquement les balises dans les instantanés du cluster de base de données lors de leur création. Le contrôle échoue si le `CopyTagsToSnapshot` paramètre est défini sur `false` pour le cluster de base de données RDS pour MySQL.
La copie de balises dans des instantanés de base de données permet de garantir un suivi des ressources, une gouvernance et une répartition des coûts appropriés entre les ressources de sauvegarde. Cela permet une identification cohérente des ressources, un contrôle d'accès et une surveillance de la conformité à la fois sur les bases de données actives et sur leurs instantanés. Les snapshots correctement balisés améliorent les opérations de sécurité en garantissant que les ressources de sauvegarde héritent des mêmes métadonnées que leurs bases de données sources.
### Correction
Pour plus d'informations sur la configuration d'un cluster de base de données Amazon RDS for MySQL afin de copier automatiquement les balises dans les instantanés de base de données, consultez la section [Marquage des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) dans le guide de l'utilisateur d'*Amazon Relational Database Service*.
## [RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::RDS::DBCluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Période minimale de conservation des sauvegardes, en jours, pour que le contrôle puisse les vérifier | Entier | `7` sur `35` | `7` |
Ce contrôle vérifie si un cluster de base de données RDS dispose d'une période minimale de rétention des sauvegardes. Le contrôle échoue si la période de conservation des sauvegardes est inférieure à la valeur de paramètre spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée, Security Hub utilise une valeur par défaut de 7 jours.
Ce contrôle vérifie si un cluster de base de données RDS dispose d'une période minimale de rétention des sauvegardes. Le contrôle échoue si la période de conservation des sauvegardes est inférieure à la valeur de paramètre spécifiée. À moins que vous ne fournissiez une valeur de paramètre client, Security Hub utilise une valeur par défaut de 7 jours. Ce contrôle s'applique à tous les types de clusters de base de données RDS, y compris les clusters de base de données Aurora, les clusters DocumentDB, les clusters NeptuneDB, etc.
### Correction
Pour configurer la période de rétention des sauvegardes pour un cluster de base de données RDS, modifiez les paramètres du cluster et définissez la période de rétention des sauvegardes sur au moins 7 jours (ou sur la valeur spécifiée dans le paramètre de contrôle). Pour obtenir des instructions détaillées, consultez la section [Durée de conservation des sauvegardes](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) dans le guide de l'*utilisateur d'Amazon Relational Database Service*. Pour les clusters de base de données Aurora, consultez la section [Présentation de la sauvegarde et de la restauration d'un cluster](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) de base de données *Aurora dans le guide de l'utilisateur Amazon Aurora pour Aurora*. Pour les autres types de clusters de base de données (par exemple les clusters DocumentDB), consultez le guide de l'utilisateur du service correspondant pour savoir comment mettre à jour la période de conservation des sauvegardes pour le cluster.
# Contrôles CSPM du Security Hub pour Amazon Redshift
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Redshift. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont accessibles au public. Il évalue le `PubliclyAccessible` champ dans l'élément de configuration du cluster.
L'`PubliclyAccessible`attribut de la configuration du cluster Amazon Redshift indique si le cluster est accessible au public. Lorsque le cluster est configuré avec `PubliclyAccessible` set to`true`, il s'agit d'une instance connectée à Internet dont le nom DNS peut être résolu publiquement et qui est résolu en adresse IP publique.
Lorsque le cluster n'est pas accessible au public, il s'agit d'une instance interne avec un nom DNS qui se résout en une adresse IP privée. À moins que vous ne souhaitiez que votre cluster soit accessible au public, le cluster ne doit pas être configuré avec la `PubliclyAccessible` valeur définie sur`true`.
### Correction
Pour mettre à jour un cluster Amazon Redshift afin de désactiver l'accès public, consultez la section [Modification d'un cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) dans le guide de gestion *Amazon Redshift*. Réglez **Accessible au public** sur **Non**.
## [Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
**Exigences associées :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les connexions aux clusters Amazon Redshift sont nécessaires pour utiliser le chiffrement pendant le transit. La vérification échoue si le paramètre du cluster Amazon Redshift `require_SSL` n'est pas défini sur. `True`
Le protocole TLS peut être utilisé pour empêcher les attaquants potentiels de recourir person-in-the-middle à des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via TLS devraient être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS.
### Correction
Pour mettre à jour un groupe de paramètres Amazon Redshift afin d'exiger le chiffrement, consultez la section [Modification d'un groupe de paramètres](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) dans le guide de gestion *Amazon Redshift*. Réglé `require_ssl` sur **True**.
## [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Sauvegardes activées
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `MinRetentionPeriod` | Durée minimale de conservation des instantanés en jours | Entier | `7` sur `35` | `7` |
Ce contrôle vérifie si les instantanés automatisés sont activés dans un cluster Amazon Redshift et si la période de conservation est supérieure ou égale à la période spécifiée. Le contrôle échoue si les instantanés automatisés ne sont pas activés pour le cluster ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des instantanés, Security Hub CSPM utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent la résilience de vos systèmes. Amazon Redshift prend des instantanés périodiques par défaut. Ce contrôle vérifie si les instantanés automatiques sont activés et conservés pendant au moins sept jours. *Pour plus de détails sur les instantanés automatisés Amazon Redshift, consultez la section Instantanés [automatisés dans le guide de gestion](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) Amazon Redshift.*
### Correction
Pour mettre à jour la période de conservation des instantanés pour un cluster Amazon Redshift, consultez la section [Modification d'un cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) dans le guide de gestion *Amazon Redshift*. Pour **Backup**, définissez la **rétention des snapshots** sur une valeur supérieure ou égale à 7.
## [Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**AWS Config règle :** `redshift-cluster-audit-logging-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des audits est activée sur un cluster Amazon Redshift.
La journalisation des audits Amazon Redshift fournit des informations supplémentaires sur les connexions et les activités des utilisateurs dans votre cluster. Ces données peuvent être stockées et sécurisées dans Amazon S3 et peuvent être utiles dans le cadre d'audits et d'enquêtes de sécurité. Pour plus d'informations, consultez la section [Journalisation des audits de base](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) de données dans le *guide de gestion Amazon Redshift*.
### Correction
Pour configurer la journalisation des audits pour un cluster Amazon Redshift, consultez la [section Configuration de l'audit à l'aide de la console](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) dans le guide de gestion *Amazon Redshift*.
## [Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
**Catégorie :** Identifier > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `allowVersionUpgrade = true`(non personnalisable)
Ce contrôle vérifie si les mises à niveau automatiques des versions majeures sont activées pour le cluster Amazon Redshift.
L'activation des mises à niveau automatiques des versions majeures garantit que les dernières mises à jour des versions majeures des clusters Amazon Redshift sont installées pendant la période de maintenance. Ces mises à jour peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
### Correction
Pour résoudre ce problème à partir de AWS CLI, utilisez la commande Amazon `modify-cluster` Redshift et définissez `--allow-version-upgrade` l'attribut. `clustername`est le nom de votre cluster Amazon Redshift.
```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```
## [Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Catégorie :** Protection > Configuration réseau sécurisée > Accès privé à l'API
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon Redshift est `EnhancedVpcRouting` activé.
Le routage VPC amélioré force tout le `UNLOAD` trafic entre le cluster `COPY` et les référentiels de données à passer par votre VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau.
### Correction
Pour obtenir des instructions de correction détaillées, consultez la section [Activation du routage VPC amélioré](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) dans le guide de gestion *Amazon Redshift*.
## [Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un cluster Amazon Redshift a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Ce contrôle échouera si le nom d'utilisateur de l'administrateur d'un cluster Redshift est défini sur. `awsuser`
Lorsque vous créez un cluster Redshift, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la configuration. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.
### Correction
Vous ne pouvez pas modifier le nom d'utilisateur administrateur de votre cluster Amazon Redshift après l'avoir créé. Pour créer un nouveau cluster avec un nom d'utilisateur autre que le nom d'utilisateur par défaut, consultez l'[étape 1 : créer un exemple de cluster Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) dans le guide de démarrage *Amazon Redshift*.
## [Redshift.10] Les clusters Redshift doivent être chiffrés au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont chiffrés au repos. Le contrôle échoue si un cluster Redshift n'est pas chiffré au repos ou si la clé de chiffrement est différente de la clé fournie dans le paramètre de règle.
Dans Amazon Redshift, vous pouvez activer le chiffrement des bases de données pour vos clusters afin de protéger les données au repos. Lorsque vous activez le chiffrement pour un cluster, les blocs de données et les métadonnées système sont chiffrés pour le cluster et ses instantanés. Le chiffrement des données au repos est une bonne pratique recommandée car il ajoute une couche de gestion des accès à vos données. Le chiffrement des clusters Redshift au repos réduit le risque qu'un utilisateur non autorisé puisse accéder aux données stockées sur le disque.
### Correction
Pour modifier un cluster Redshift afin d'utiliser le chiffrement KMS, consultez la section [Modification du chiffrement du cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) dans le guide de gestion *Amazon Redshift*.
## [Redshift.11] Les clusters Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::Cluster`
**AWS Config règle :** `tagged-redshift-cluster` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un cluster Amazon Redshift possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un cluster Redshift, consultez la section [Ressources de balisage dans Amazon Redshift dans le guide de gestion](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon Redshift.*
## [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::EventSubscription`
**AWS Config règle :** `tagged-redshift-eventsubscription` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un instantané de cluster Amazon Redshift comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le cliché du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cliché du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un abonnement aux notifications d'événements Redshift, consultez les [ressources de balisage dans Amazon Redshift dans le guide de gestion](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon Redshift.*
## [Redshift.13] Les instantanés du cluster Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::ClusterSnapshot`
**AWS Config règle :** `tagged-redshift-clustersnapshot` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un instantané de cluster Amazon Redshift comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le cliché du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cliché du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un instantané de cluster Redshift, consultez la section [Ressources de balisage dans Amazon Redshift dans le guide de gestion](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon Redshift.*
## [Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::ClusterSubnetGroup`
**AWS Config règle :** `tagged-redshift-clustersubnetgroup` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un groupe de sous-réseaux du cluster Amazon Redshift possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le groupe de sous-réseaux du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
*Pour ajouter des balises à un groupe de sous-réseaux du cluster Redshift, consultez la section Ressources de [balisage dans Amazon Redshift dans le guide de gestion Amazon](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Redshift.*
## [Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes
**Exigences connexes :** PCI DSS v4.0.1/1.3.1
**Catégorie :** Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
**Gravité :** Élevée
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de sécurité associé à un cluster Amazon Redshift possède des règles d'entrée qui autorisent l'accès au port du cluster depuis Internet (0.0.0.0/0 ou : :/0). Le contrôle échoue si les règles d'entrée du groupe de sécurité autorisent l'accès au port du cluster depuis Internet.
L'autorisation d'un accès entrant illimité au port du cluster Redshift (adresse IP avec un suffixe /0) peut entraîner un accès non autorisé ou des incidents de sécurité. Nous recommandons d'appliquer le principe du moindre privilège d'accès lors de la création de groupes de sécurité et de la configuration des règles de trafic entrant.
### Correction
Pour limiter l'entrée sur le port du cluster Redshift aux origines restreintes, [consultez la section Utiliser les règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) dans le guide de l'utilisateur *Amazon VPC*. Mettez à jour les règles selon lesquelles la plage de ports correspond au port du cluster Redshift et la plage de ports IP est de 0.0.0.0/0.
## [Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::ClusterSubnetGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Le contrôle vérifie si un groupe de sous-réseaux du cluster Amazon Redshift possède des sous-réseaux provenant de plusieurs zones de disponibilité (AZ). Le contrôle échoue si le groupe de sous-réseaux du cluster ne possède pas de sous-réseaux provenant d'au moins deux sous-réseaux différents. AZs
La configuration de sous-réseaux sur plusieurs réseaux permet de AZs garantir que votre entrepôt de données Redshift peut continuer à fonctionner même en cas de panne.
### Correction
*Pour modifier un groupe de sous-réseaux de cluster Redshift afin qu'il en couvre plusieurs AZs, consultez la section [Modification d'un groupe de sous-réseaux de cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) dans le guide de gestion Amazon Redshift.*
## [Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Redshift::ClusterParameterGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe de paramètres de cluster Amazon Redshift possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le groupe de paramètres ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de paramètres ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un groupe de paramètres de cluster Amazon Redshift, consultez la section [Ressources relatives aux balises dans Amazon Redshift dans](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) le guide de gestion Amazon *Redshift*.
## [Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::Redshift::Cluster`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les déploiements de plusieurs zones de disponibilité (multi-AZ) sont activés pour un cluster Amazon Redshift. Le contrôle échoue si les déploiements multi-AZ ne sont pas activés pour le cluster Amazon Redshift.
Amazon Redshift prend en charge les déploiements de plusieurs zones de disponibilité (multi-AZ) pour les clusters provisionnés. Si les déploiements multi-AZ sont activés pour un cluster, un entrepôt de données Amazon Redshift peut continuer à fonctionner en cas de panne lorsqu'un événement inattendu se produit dans une zone de disponibilité (AZ). Un déploiement multi-AZ déploie des ressources de calcul dans plusieurs AZ et ces ressources de calcul sont accessibles via un seul point de terminaison. En cas de défaillance complète d'une zone de disponibilité, les ressources de calcul restantes d'une autre zone de disponibilité sont disponibles pour poursuivre le traitement des charges de travail. Vous pouvez convertir un entrepôt de données mono-AZ existant en entrepôt de données multi-AZ. Des ressources de calcul supplémentaires sont ensuite provisionnées dans une seconde zone de disponibilité.
### Correction
*Pour plus d'informations sur la configuration des déploiements multi-AZ pour un cluster Amazon Redshift, [consultez la section Conversion d'un entrepôt de données mono-AZ en entrepôt de données multi-AZ dans](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) le guide de gestion Amazon Redshift.*
# Contrôles CSPM du Security Hub pour Amazon Redshift Serverless
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Redshift Serverless. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Élevée
**Type de ressource :** `AWS::RedshiftServerless::Workgroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le routage VPC amélioré est activé pour un groupe de travail Amazon Redshift Serverless. Le contrôle échoue si le routage VPC amélioré est désactivé pour le groupe de travail.
Si le routage VPC amélioré est désactivé pour un groupe de travail Amazon Redshift Serverless, Amazon Redshift achemine le trafic via Internet, y compris le trafic vers d'autres services du réseau. AWS Si vous activez le routage VPC amélioré pour un groupe de travail, Amazon Redshift force tout le `UNLOAD` trafic entre votre cluster `COPY` et vos référentiels de données via votre cloud privé virtuel (VPC) basé sur le service Amazon VPC. Grâce au routage VPC amélioré, vous pouvez utiliser les fonctionnalités VPC standard pour contrôler le flux de données entre votre cluster Amazon Redshift et les autres ressources. Cela inclut des fonctionnalités telles que les groupes de sécurité VPC et les politiques relatives aux terminaux, les listes de contrôle d'accès au réseau (ACLs) et les serveurs DNS (Domain Name System). Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic`COPY`. `UNLOAD`
### Correction
*Pour plus d'informations sur le routage VPC amélioré et sur la manière de l'activer pour un groupe de travail, consultez la section [Contrôle du trafic réseau avec le routage VPC amélioré Redshift dans](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) le guide de gestion Amazon Redshift.*
## [RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::RedshiftServerless::Workgroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si des connexions à un groupe de travail Amazon Redshift Serverless sont nécessaires pour chiffrer les données en transit. Le contrôle échoue si le paramètre `require_ssl` de configuration du groupe de travail est défini sur. `false`
Un groupe de travail Amazon Redshift Serverless est un ensemble de ressources de calcul qui regroupe des ressources informatiques telles que des groupes de sous-réseaux RPUs VPC et des groupes de sécurité. Les propriétés d'un groupe de travail incluent les paramètres réseau et de sécurité. Ces paramètres indiquent si les connexions à un groupe de travail doivent être requises pour utiliser le protocole SSL afin de chiffrer les données en transit.
### Correction
*Pour plus d'informations sur la mise à jour des paramètres d'un groupe de travail Amazon Redshift Serverless afin d'exiger des connexions SSL, consultez la section Connexion à [Amazon Redshift Serverless dans le guide de gestion Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html).*
## [RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::RedshiftServerless::Workgroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès public est désactivé pour un groupe de travail Amazon Redshift Serverless. Il évalue les `publiclyAccessible` propriétés d'un groupe de travail Redshift Serverless. Le contrôle échoue si l'accès public est activé (`true`) pour le groupe de travail.
Le paramètre public access (`publiclyAccessible`) d'un groupe de travail Amazon Redshift Serverless indique si le groupe de travail est accessible depuis un réseau public. Si l'accès public est activé (`true`) pour un groupe de travail, Amazon Redshift crée une adresse IP élastique qui rend le groupe de travail accessible au public depuis l'extérieur du VPC. Si vous ne souhaitez pas qu'un groupe de travail soit accessible au public, désactivez-le.
### Correction
*Pour plus d'informations sur la modification du paramètre d'accès public pour un groupe de travail Amazon Redshift Serverless, consultez la section [Affichage des propriétés d'un groupe de travail dans le](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) guide de gestion Amazon Redshift.*
## [RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys
**Exigences connexes :** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::RedshiftServerless::Namespace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Une liste des noms de ressources Amazon (ARNs) AWS KMS keys à inclure dans l'évaluation. Le contrôle permet de déterminer si `FAILED` un espace de noms Redshift Serverless n'est pas chiffré avec une clé KMS dans la liste. | StringList (maximum de 3 articles) | 1 à 3 ARNs des clés KMS existantes. Par exemple : `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. | Aucune valeur par défaut |
Ce contrôle vérifie si un espace de noms Amazon Redshift Serverless est chiffré au repos et géré par un client. AWS KMS key Le contrôle échoue si l'espace de noms Redshift Serverless n'est pas chiffré à l'aide d'une clé KMS gérée par le client. Vous pouvez éventuellement spécifier une liste de clés KMS que le contrôle doit inclure dans l'évaluation.
Dans Amazon Redshift sans serveur, un espace de noms définit un conteneur logique pour les objets de la base de données. Ce contrôle vérifie régulièrement si les paramètres de chiffrement d'un espace de noms spécifient une clé KMS gérée par le client AWS KMS key, au lieu d'une clé KMS AWS gérée, pour le chiffrement des données dans l'espace de noms. Avec une clé KMS gérée par le client, vous avez le contrôle total de la clé. Cela inclut la définition et le maintien de la politique des clés, la gestion des subventions, la rotation du matériel cryptographique, l'attribution de balises, la création d'alias, ainsi que l'activation et la désactivation de la clé.
### Correction
*Pour plus d'informations sur la mise à jour des paramètres de chiffrement pour un espace de noms Amazon Redshift Serverless et sur la spécification d'un espace de noms géré par [le AWS KMS key client AWS KMS key, consultez la section Modification des paramètres d'un espace de noms dans le guide](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) de gestion Amazon Redshift.*
## [RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut
**Catégorie :** Identifier > Configuration des ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::RedshiftServerless::Namespace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le nom d'utilisateur d'un espace de noms Amazon Redshift Serverless est le nom d'utilisateur d'administrateur par défaut. `admin` Le contrôle échoue si le nom d'utilisateur administrateur de l'espace de noms Redshift Serverless est. `admin`
Lorsque vous créez un espace de noms Amazon Redshift Serverless, vous devez spécifier un nom d'utilisateur administrateur personnalisé pour cet espace de noms. Le nom d'utilisateur de l'administrateur par défaut est public knowledge. En spécifiant un nom d'utilisateur d'administrateur personnalisé, vous pouvez, par exemple, contribuer à atténuer le risque ou l'efficacité des attaques par force brute contre l'espace de noms.
### Correction
Vous pouvez modifier le nom d'utilisateur administrateur d'un espace de noms Amazon Redshift Serverless à l'aide de la console ou de l'API Amazon Redshift Serverless. Pour le modifier à l'aide de la console, choisissez la configuration de l'espace de noms, puis choisissez **Modifier les informations d'identification de l'administrateur** dans le menu **Actions**. Pour le modifier par programmation, utilisez l'[UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)opération ou, si vous utilisez la AWS CLI, exécutez la commande [update-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html). Si vous modifiez le nom d'utilisateur administrateur, vous devez également modifier le mot de passe administrateur en même temps.
## [RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::RedshiftServerless::Namespace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un espace de noms Amazon Redshift Serverless est configuré pour exporter les connexions et les journaux des utilisateurs vers Amazon Logs. CloudWatch Le contrôle échoue si l'espace de noms Redshift Serverless n'est pas configuré pour exporter les journaux vers Logs. CloudWatch
Si vous configurez Amazon Redshift Serverless pour exporter les données du journal de connexion (`connectionlog`) et du journal utilisateur (`userlog`) vers un groupe de CloudWatch journaux dans Amazon Logs, vous pouvez collecter et stocker vos enregistrements de journal dans un stockage durable, qui peut prendre en charge les examens et audits de sécurité, d'accès et de disponibilité. Avec CloudWatch Logs, vous pouvez également effectuer une analyse en temps réel des données des journaux et les utiliser CloudWatch pour créer des alarmes et examiner les métriques.
### Correction
Pour exporter les données de journal d'un espace de noms Amazon Redshift Serverless vers CloudWatch Amazon Logs, les journaux respectifs doivent être sélectionnés pour être exportés dans les paramètres de configuration de journalisation d'audit de l'espace de noms. Pour plus d'informations sur la mise à jour de ces paramètres, consultez la section [Modifier la sécurité et le chiffrement](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) dans le *guide de gestion Amazon Redshift*.
# Contrôles Security Hub CSPM pour Route 53
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Route 53.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Route53::HealthCheck`
**AWS Config règle :** `tagged-route53-healthcheck` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un bilan de santé d'Amazon Route 53 comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le bilan de santé ne comporte aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le contrôle de santé n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un bilan de santé de Route 53, consultez la section [Désignation et balisage des contrôles de santé](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) dans le *guide du développeur Amazon Route 53*.
## [Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Route53::HostedZone`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des requêtes DNS est activée pour une zone hébergée publique Amazon Route 53. Le contrôle échoue si la journalisation des requêtes DNS n'est pas activée pour une zone hébergée publique Route 53.
L'enregistrement des requêtes DNS pour une zone hébergée Route 53 répond aux exigences de sécurité et de conformité du DNS et garantit la visibilité. Les journaux incluent des informations telles que le domaine ou le sous-domaine interrogé, la date et l'heure de la requête, le type d'enregistrement DNS (par exemple, A ou AAAA) et le code de réponse DNS (par exemple, ou). `NoError` `ServFail` Lorsque la journalisation des requêtes DNS est activée, Route 53 publie les fichiers CloudWatch journaux sur Amazon Logs.
### Correction
Pour enregistrer les requêtes DNS pour les zones hébergées publiques de Route 53, consultez la [section Configuration de la journalisation des requêtes DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) dans le manuel *Amazon Route 53 Developer Guide*.
# Contrôles CSPM du Security Hub pour Amazon S3
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Simple Storage Service (Amazon S3). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6, (4) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 AWS NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `ignorePublicAcls`: `true` (non personnalisable)
+ `blockPublicPolicy`: `true` (non personnalisable)
+ `blockPublicAcls`: `true` (non personnalisable)
+ `restrictPublicBuckets`: `true` (non personnalisable)
Ce contrôle vérifie si les paramètres d'accès public de bloc Amazon S3 précédents sont configurés au niveau du compte pour un compartiment S3 à usage général. Le contrôle échoue si un ou plusieurs paramètres de blocage de l'accès public sont définis sur`false`.
Le contrôle échoue si l'un des paramètres est défini sur ou s'il n'est pas configuré. `false`
Le bloc d'accès public Amazon S3 est conçu pour fournir des contrôles sur l'ensemble Compte AWS ou au niveau d'un compartiment S3 individuel afin de garantir que les objets ne soient jamais accessibles au public. L'accès public est accordé aux compartiments et aux objets via des listes de contrôle d'accès (ACLs), des politiques de compartiments, ou les deux.
À moins que vous n'ayez l'intention de rendre vos compartiments S3 accessibles au public, vous devez configurer la fonctionnalité Amazon S3 Block Public Access au niveau du compte.
Pour en savoir plus, consultez la section [Utilisation d'Amazon S3 Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
### Correction
Pour activer Amazon S3 Block Public Access pour votre compte Compte AWS, consultez la [section Configuration des paramètres de blocage de l'accès public pour votre compte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
## [S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21), (3), (4) NIST.800-53.r5 AC-3, (9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)
**Type de calendrier :** périodique et déclenché par des modifications
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 autorise l'accès public en lecture. Il évalue les paramètres de blocage d'accès public, la stratégie de compartiment et la liste de contrôle d'accès (ACL) du compartiment. Le contrôle échoue si le bucket autorise l'accès public en lecture.
**Note**
Si un compartiment S3 possède une politique de compartiment, ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique de compartiment doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
Certains cas d'utilisation peuvent nécessiter que tout le monde sur Internet soit capable de lire depuis votre compartiment S3. Cependant, ces situations sont rares. Pour garantir l'intégrité et la sécurité de vos données, votre compartiment S3 ne doit pas être lisible publiquement.
### Correction
Pour bloquer l'accès public en lecture sur vos compartiments Amazon S3, consultez la [section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.
## [S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, 1, (7), (21), (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Critique
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)
**Type de calendrier :** périodique et déclenché par des modifications
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 autorise l'accès public en écriture. Il évalue les paramètres de blocage d'accès public, la stratégie de compartiment et la liste de contrôle d'accès (ACL) du compartiment. Le contrôle échoue si le bucket autorise l'accès public en écriture.
**Note**
Si un compartiment S3 possède une politique de compartiment, ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique de compartiment doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
Certains cas d'utilisation nécessitent que tout le monde sur Internet puisse écrire dans votre compartiment S3. Cependant, ces situations sont rares. Pour garantir l'intégrité et la sécurité de vos données, votre compartiment S3 ne doit pas accorder l’accès public en écriture.
### Correction
Pour bloquer l'accès public en écriture à vos compartiments Amazon S3, consultez la [section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.
## [S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3, 3 (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), ( NIST.800-53.r5 SC-12), NIST.800-53.R5 AWS SI-7 (6), NIST.800-53.r5 SC-2 NIST.800-171.R2 3.13.8, NIST.800-53.r5 SC-7 IST.800-171.R2 3.13.15, NIST.800-53.r5 SC-8 PCI DSS v3.2.1/4.1, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 possède une politique qui exige que les demandes utilisent le protocole SSL. Le contrôle échoue si la politique du bucket n'exige pas que les demandes utilisent le protocole SSL.
Les compartiments S3 doivent avoir des politiques qui obligent toutes les requêtes (`Action: S3:*`) à accepter uniquement la transmission de données via HTTPS dans la politique de ressources S3, indiquée par la clé `aws:SecureTransport` de condition.
### Correction
Pour mettre à jour une politique de compartiment Amazon S3 afin de refuser le transport non sécurisé, consultez la section [Ajout d'une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
Ajoutez une déclaration de politique similaire à celle de la stratégie suivante. `amzn-s3-demo-bucket`Remplacez-le par le nom du bucket que vous modifiez.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
Pour plus d'informations, consultez [Quelle politique de compartiment S3 dois-je utiliser pour me conformer à la AWS Config règle s3- bucket-ssl-requests-only ?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) dans le *centre de connaissances AWS officiel*.
## [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.13.4
**Catégorie : Protection** > Gestion des accès sécurisés > Actions d'opérations d'API sensibles restreintes
**Gravité :** Élevée
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config** :[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (non personnalisable)
Ce contrôle vérifie si une politique de compartiment à usage général d'Amazon S3 empêche les principaux d' Comptes AWS effectuer des actions refusées sur les ressources du compartiment S3. Le contrôle échoue si la politique du bucket autorise une ou plusieurs des actions précédentes pour un principal dans un autre Compte AWS.
La mise en œuvre de l'accès avec le moindre privilège est fondamentale pour réduire les risques de sécurité et l'impact des erreurs ou des intentions malveillantes. Si une politique de compartiment S3 autorise l'accès depuis des comptes externes, cela peut entraîner l'exfiltration de données par une menace interne ou un attaquant.
Le `blacklistedactionpatterns` paramètre permet une évaluation réussie de la règle pour les compartiments S3. Le paramètre donne accès à des comptes externes pour les modèles d'action qui ne sont pas inclus dans la `blacklistedactionpatterns` liste.
### Correction
Pour mettre à jour une politique de compartiment Amazon S3 afin de supprimer des autorisations, consultez. [Ajout d'une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
Sur la page **Modifier la politique du compartiment**, dans la zone de texte d'édition de la politique, effectuez l'une des actions suivantes :
+ Supprimez les déclarations qui accordent à d'autres personnes Comptes AWS l'accès aux actions refusées.
+ Supprimez les actions refusées autorisées des déclarations.
## [S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
**Exigences associées :** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.R5 NIST.800-53.r5 SC-5 SI-13 (5)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la réplication entre régions est activée dans un compartiment à usage général Amazon S3. Le contrôle échoue si la réplication entre régions n'est pas activée sur le compartiment.
La réplication est la copie automatique et asynchrone d'objets dans des compartiments identiques ou différents. Régions AWS La réplication copie les objets nouvellement créés et les mises à jour d'objets d'un compartiment source vers un ou plusieurs compartiments de destination. AWS les meilleures pratiques recommandent la réplication pour les compartiments source et de destination qui leur appartiennent. Compte AWS En plus de la disponibilité, vous devriez envisager d'autres paramètres de sécurisation renforcée des systèmes.
Ce contrôle produit une `FAILED` recherche pour un compartiment de destination de réplication si la réplication entre régions n'est pas activée. S'il existe une raison légitime pour laquelle le compartiment de destination n'a pas besoin de réplication entre régions pour être activé, vous pouvez supprimer les résultats pour ce compartiment.
### Correction
Pour activer la réplication entre régions sur un compartiment S3, consultez la [section Configuration de la réplication pour les compartiments source et de destination appartenant au même compte dans le](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) guide de l'*utilisateur d'Amazon Simple Storage Service*. Pour le **compartiment source**, choisissez **Appliquer à tous les objets du compartiment**.
## [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Élevée
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `excludedPublicBuckets`(non personnalisable) — Liste séparée par des virgules des noms de compartiments publics S3 connus et autorisés
Ce contrôle vérifie si un bucket Amazon S3 à usage général bloque l'accès public au niveau du bucket. Le contrôle échoue si l'un des paramètres suivants est défini sur `false` :
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`
Bloquer l'accès public au niveau du compartiment S3 fournit des contrôles pour garantir que les objets n'ont jamais d'accès public. L'accès public est accordé aux compartiments et aux objets via des listes de contrôle d'accès (ACLs), des politiques de compartiments, ou les deux.
À moins que vous n'ayez l'intention de rendre vos compartiments S3 accessibles au public, vous devez configurer la fonctionnalité Amazon S3 Block Public Access au niveau du bucket.
### Correction
Pour plus d'informations sur la façon de supprimer l'accès public au niveau d'un bucket, consultez la section [Blocage de l'accès public à votre espace de stockage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) dans le *guide de l'utilisateur Amazon S3*.
## [S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général
**Exigences connexes :** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), nIST.800-171.R2 3.3.8, PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation des accès au serveur est activée pour un compartiment à usage général Amazon S3. Le contrôle échoue si la journalisation des accès au serveur n'est pas activée. Lorsque la journalisation est activée, Amazon S3 fournit les journaux d'accès d'un compartiment source à un compartiment cible choisi. Le compartiment cible doit se trouver dans le même compartiment Région AWS que le compartiment source et aucune période de rétention par défaut ne doit être configurée. Il n'est pas nécessaire que la journalisation des accès au serveur soit activée pour le compartiment de journalisation cible, et vous devez supprimer les résultats relatifs à ce compartiment.
La journalisation des accès au serveur fournit des enregistrements détaillés des demandes adressées à un bucket. Les journaux d'accès aux serveurs peuvent faciliter les audits de sécurité et d'accès. Pour plus d'informations, consultez [Bonnes pratiques de sécurité pour Amazon S3 : activer la journalisation des accès au serveur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).
### Correction
Pour activer la journalisation de l'accès au serveur Amazon S3, consultez la section [Activation de la journalisation de l'accès au serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) *Amazon S3 dans le guide de l'utilisateur* Amazon S3.
## [S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment versionné à usage général Amazon S3 possède une configuration Lifecycle. Le contrôle échoue si le bucket n'a pas de configuration Lifecycle.
Nous vous recommandons de créer une configuration du cycle de vie pour votre compartiment S3 afin de vous aider à définir les actions que vous souhaitez qu'Amazon S3 entreprenne pendant le cycle de vie d'un objet.
### Correction
Pour plus d'informations sur la configuration du cycle de vie d'un compartiment Amazon S3, consultez Configuration de la [configuration du cycle de vie d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) et [Gestion du cycle de vie de votre stockage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).
## [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général
**Exigences connexes :** NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (4), NIST.800-171.R2 3.3.8
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `eventTypes` | Liste des types d'événements S3 préférés | EnumList (maximum de 28 articles) | `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent` | Aucune valeur par défaut |
Ce contrôle vérifie si les notifications d'événements S3 sont activées sur un compartiment Amazon S3 à usage général. Le contrôle échoue si les notifications d'événements S3 ne sont pas activées sur le compartiment. Si vous fournissez des valeurs personnalisées pour le `eventTypes` paramètre, le contrôle est transmis uniquement si les notifications d'événements sont activées pour les types d'événements spécifiés.
Lorsque vous activez les notifications d'événements S3, vous recevez des alertes lorsque des événements spécifiques se produisent et ont un impact sur vos compartiments S3. Par exemple, vous pouvez être informé de la création, de la suppression ou de la restauration d'objets. Ces notifications peuvent alerter les équipes concernées en cas de modifications accidentelles ou intentionnelles susceptibles d'entraîner un accès non autorisé aux données.
### Correction
Pour plus d'informations sur la détection des modifications apportées aux compartiments et aux objets S3, consultez les [notifications d'événements Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) dans le *guide de l'utilisateur Amazon S3*.
## [S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général
**Exigences connexes :** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Catégorie :** Protéger > Gestion des accès sécurisés > Contrôle d'accès
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 fournit des autorisations aux utilisateurs avec une liste de contrôle d'accès (ACL). Le contrôle échoue si une ACL est configurée pour gérer l'accès des utilisateurs sur le bucket.
ACLs sont des mécanismes de contrôle d'accès existants antérieurs à l'IAM. Nous vous recommandons plutôt d' ACLsutiliser des politiques de compartiment S3 ou des politiques Gestion des identités et des accès AWS (IAM) pour gérer l'accès à vos compartiments S3.
### Correction
Pour passer ce contrôle, vous devez le désactiver ACLs pour vos compartiments S3. Pour obtenir des instructions, consultez la section [Contrôle de la propriété des objets et désactivation ACLs de votre compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
Pour créer une politique de compartiment S3, consultez [Ajouter une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Pour créer une politique utilisateur IAM sur un compartiment S3, consultez la section [Contrôle de l'accès à un compartiment avec des politiques utilisateur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions).
## [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie :** Protéger > Protection des données
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `targetTransitionDays` | Nombre de jours après la création de l'objet lorsque les objets sont transférés vers une classe de stockage spécifiée | Entier | `1` sur `36500` | Aucune valeur par défaut |
| `targetExpirationDays` | Nombre de jours après la création de l'objet lorsque les objets sont supprimés | Entier | `1` sur `36500` | Aucune valeur par défaut |
| `targetTransitionStorageClass` | Type de classe de stockage S3 de destination | Enum | `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE` | Aucune valeur par défaut |
Ce contrôle vérifie si un compartiment à usage général Amazon S3 possède une configuration Lifecycle. Le contrôle échoue si le bucket n'a pas de configuration Lifecycle. Si vous fournissez des valeurs personnalisées pour un ou plusieurs des paramètres précédents, le contrôle est effectué uniquement si la politique inclut la classe de stockage, le délai de suppression ou le temps de transition spécifiés.
La création d'une configuration du cycle de vie pour votre compartiment S3 définit les actions que vous souhaitez qu'Amazon S3 entreprenne pendant le cycle de vie d'un objet. Par exemple, vous pouvez transférer des objets vers une autre classe de stockage, les archiver ou les supprimer après une période spécifiée.
### Correction
Pour plus d'informations sur la configuration des politiques de cycle de vie d'un compartiment Amazon S3, consultez [Configuration de la configuration du cycle de vie d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) et [Gestion du cycle de vie du stockage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) dans le *guide de l'utilisateur Amazon S3*.
## [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Exigences connexes :** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5), NIST.800-171.R2 3.3.8
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le versionnement est activé dans un compartiment à usage général Amazon S3. Le contrôle échoue si la gestion des versions est suspendue pour le compartiment.
La gestion des versions conserve plusieurs variantes d'un objet dans le même compartiment S3. Vous pouvez utiliser le versionnement pour préserver, récupérer et restaurer les versions antérieures d'un objet stocké dans votre compartiment S3. La gestion des versions vous aide à vous remettre à la fois des actions involontaires de l'utilisateur et des défaillances d'applications.
**Astuce**
À mesure que le nombre d'objets dans un compartiment augmente en raison du versionnement, vous pouvez configurer une configuration Lifecycle pour archiver ou supprimer automatiquement les objets versionnés en fonction de règles. Pour plus d'informations, consultez [Amazon S3 Lifecycle Management pour les objets versionnés.](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/)
### Correction
Pour utiliser la gestion des versions sur un compartiment S3, consultez la section [Activation de la gestion des versions sur des compartiments](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) dans le guide de l'utilisateur *Amazon S3*.
## [S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Exigences connexes :** NIST.800-53.R5 CP-6 (2), PCI DSS v4.0.1/10.5.1
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `mode` | Mode de rétention S3 Object Lock | Enum | `GOVERNANCE`, `COMPLIANCE` | Aucune valeur par défaut |
Ce contrôle vérifie si Object Lock est activé sur un bucket Amazon S3 à usage général. Le contrôle échoue si Object Lock n'est pas activé pour le bucket. Si vous fournissez une valeur personnalisée pour le `mode` paramètre, le contrôle est transmis uniquement si S3 Object Lock utilise le mode de rétention spécifié.
Vous pouvez utiliser S3 Object Lock pour stocker des objets à l'aide d'un modèle write-once-read-many (WORM). Object Lock peut aider à empêcher la suppression ou le remplacement d'objets dans des compartiments S3 pendant une durée déterminée ou indéfiniment. Vous pouvez utiliser le verrouillage des objets S3 pour satisfaire aux exigences réglementaires qui nécessitent le stockage WORM, ou pour ajouter une couche supplémentaire de protection contre la suppression et les modifications d'objet.
### Correction
Pour configurer le verrouillage des objets pour les compartiments S3 nouveaux et existants, consultez la [section Configuration du verrouillage des objets S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) dans le *guide de l'utilisateur Amazon S3*.
## [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Exigences connexes :** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.R5 AU-9, NIST.800-171.R2 3.8.9, NIST.800-171.R2 3.13.16, PCI DSS v4.0.1/3.5.1
**Gravité :** Moyenne
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un compartiment à usage général Amazon S3 est chiffré avec un AWS KMS key (SSE-KMS ou DSSE-KMS). Le contrôle échoue si le compartiment est chiffré avec le chiffrement par défaut (SSE-S3).
Le chiffrement côté serveur (SSE) est le chiffrement des données à destination par l'application ou le service qui les reçoit. Sauf indication contraire de votre part, les compartiments S3 utilisent les clés gérées par Amazon S3 (SSE-S3) par défaut pour le chiffrement côté serveur. Toutefois, pour un contrôle accru, vous pouvez choisir de configurer des buckets pour utiliser le chiffrement côté serveur (SSE-KMS ou DSSE-KMS AWS KMS keys ) à la place. Amazon S3 chiffre vos données au niveau de l'objet lorsqu'il les écrit sur les disques des centres de AWS données et les déchiffre pour vous lorsque vous y accédez.
### Correction
*Pour chiffrer un compartiment S3 à l'aide de SSE-KMS, consultez la section [Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS) dans](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) le guide de l'utilisateur Amazon S3.* *Pour chiffrer un compartiment S3 à l'aide du DSSE-KMS, consultez la section [Spécification du chiffrement double couche côté serveur avec AWS KMS keys (DSSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html) dans le guide de l'utilisateur Amazon S3.*
## [S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
**Exigences associées :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::S3::AccessPoint`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les paramètres de blocage de l'accès public sont activés sur un point d'accès Amazon S3. Le contrôle échoue si les paramètres de blocage de l'accès public ne sont pas activés pour le point d'accès.
La fonctionnalité Amazon S3 Block Public Access vous permet de gérer l'accès à vos ressources S3 à trois niveaux : le compte, le compartiment et le point d'accès. Les paramètres de chaque niveau peuvent être configurés indépendamment, ce qui vous permet de définir différents niveaux de restrictions d'accès public pour vos données. Les paramètres du point d'accès ne peuvent pas remplacer individuellement les paramètres les plus restrictifs des niveaux supérieurs (niveau du compte ou compartiment attribué au point d'accès). Au lieu de cela, les paramètres au niveau du point d'accès sont additifs, ce qui signifie qu'ils complètent et fonctionnent parallèlement aux paramètres des autres niveaux. À moins que vous ne souhaitiez qu'un point d'accès S3 soit accessible au public, vous devez activer les paramètres de blocage de l'accès public.
### Correction
Actuellement, Amazon S3 ne prend pas en charge la modification des paramètres de blocage de l’accès public d’un point d’accès après que ce point d’accès a été créé. Tous les paramètres de blocage de l'accès public sont activés par défaut lorsque vous créez un nouveau point d'accès. Nous vous recommandons de garder tous les paramètres activés, sauf si vous savez que vous avez un besoin spécifique de désactiver l’un d’entre eux. Pour plus d'informations, consultez [la section Gestion de l'accès public aux points d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
## [S3.20] La suppression MFA des compartiments S3 à usage général doit être activée
**Exigences associées :** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), ( AWS 2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Catégorie :** Protéger > Protection des données > Protection contre la suppression des données
**Gravité : ** Faible
**Type de ressource :** `AWS::S3::Bucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la suppression par authentification multifactorielle (MFA) est activée pour un compartiment à usage général Amazon S3. Le contrôle échoue si la suppression MFA n'est pas activée pour le bucket. Le contrôle ne produit aucun résultat pour les compartiments dotés d'une configuration de cycle de vie.
Si vous activez le versionnement pour un bucket S3 à usage général, vous pouvez éventuellement ajouter un niveau de sécurité supplémentaire en configurant la suppression MFA pour le bucket. Dans ce cas, le propriétaire du compartiment doit inclure deux formes d'authentification dans toute demande de suppression d'une version d'un objet du compartiment ou de modification de l'état de version du compartiment. La suppression MFA renforce la sécurité si, par exemple, les informations de sécurité du propriétaire du compartiment sont compromises. La suppression MFA peut également aider à prévenir les suppressions accidentelles de compartiments en obligeant l'utilisateur à l'origine de l'action de suppression à prouver la possession physique d'un dispositif MFA à l'aide d'un code MFA, ce qui ajoute un niveau de friction et de sécurité supplémentaire à l'action de suppression.
**Note**
Ce contrôle produit un `PASSED` résultat uniquement si la suppression MFA est activée pour le compartiment à usage général S3. Pour activer la suppression MFA pour un bucket, le versionnement doit également être activé pour le bucket. Le versionnement des compartiments est une méthode qui permet de stocker plusieurs variantes d'un objet S3 dans le même compartiment. En outre, seul le propriétaire du bucket connecté en tant qu'utilisateur root peut activer la suppression MFA et effectuer des actions de suppression sur le bucket. Vous ne pouvez pas utiliser la suppression MFA avec un bucket dont le cycle de vie est configuré.
### Correction
Pour plus d'informations sur l'activation de la gestion des versions et la configuration de la suppression MFA pour un compartiment S3, [consultez la section Configuration de la suppression MFA](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) dans le guide de l'utilisateur d'*Amazon Simple* Storage Service.
## [S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/3.8, CIS AWS Foundations Benchmark v3.0.0/3.8, PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe Compte AWS au moins un journal AWS CloudTrail multirégional qui enregistre tous les événements d'écriture de données pour les compartiments Amazon S3. Le contrôle échoue si le compte ne dispose pas d'un journal multirégional enregistrant les événements de données d'écriture pour les compartiments S3.
Les opérations au niveau de l'objet S3, telles que`GetObject`, et `DeleteObject``PutObject`, sont appelées événements de données. Par défaut, CloudTrail n'enregistre pas les événements de données, mais vous pouvez configurer des sentiers pour enregistrer les événements de données pour les compartiments S3. Lorsque vous activez la journalisation au niveau de l'objet pour les événements d'écriture de données, vous pouvez enregistrer chaque accès individuel à un objet (fichier) dans un compartiment S3. L'activation de la journalisation au niveau de l'objet peut vous aider à respecter les exigences de conformité des données, à effectuer une analyse de sécurité complète, à surveiller les modèles spécifiques de comportement des utilisateurs dans votre environnement Compte AWS et à agir sur l'activité des API au niveau des objets dans vos compartiments S3 à l'aide d'Amazon Events. CloudWatch Ce contrôle produit un `PASSED` résultat si vous configurez un suivi multirégional qui enregistre en écriture seule ou tous les types d'événements de données pour tous les compartiments S3.
### Correction
Pour activer la journalisation au niveau des objets pour les compartiments S3, consultez la section [Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3 dans](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) le guide de l'utilisateur d'*Amazon Simple Storage Service*.
## [S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets
**Exigences connexes :** CIS AWS Foundations Benchmark v5.0.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.9, PCI DSS v4.0.1/10.2.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie s'il existe Compte AWS au moins un journal AWS CloudTrail multirégional qui enregistre tous les événements de lecture de données pour les compartiments Amazon S3. Le contrôle échoue si le compte ne dispose pas d'un journal multirégional enregistrant les événements de lecture des données pour les compartiments S3.
Les opérations au niveau de l'objet S3, telles que`GetObject`, et `DeleteObject``PutObject`, sont appelées événements de données. Par défaut, CloudTrail n'enregistre pas les événements de données, mais vous pouvez configurer des sentiers pour enregistrer les événements de données pour les compartiments S3. Lorsque vous activez la journalisation au niveau de l'objet pour les événements de lecture de données, vous pouvez enregistrer chaque accès individuel à un objet (fichier) dans un compartiment S3. L'activation de la journalisation au niveau de l'objet peut vous aider à respecter les exigences de conformité des données, à effectuer une analyse de sécurité complète, à surveiller les modèles spécifiques de comportement des utilisateurs dans votre environnement Compte AWS et à agir sur l'activité des API au niveau des objets dans vos compartiments S3 à l'aide d'Amazon Events. CloudWatch Ce contrôle produit un `PASSED` résultat si vous configurez un suivi multirégional qui enregistre en lecture seule ou tous les types d'événements de données pour tous les compartiments S3.
### Correction
Pour activer la journalisation au niveau des objets pour les compartiments S3, consultez la section [Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3 dans](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) le guide de l'utilisateur d'*Amazon Simple Storage Service*.
## [S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés
**Exigences connexes :** PCI DSS v4.0.1/1.4.4
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Élevée
**Type de ressource :** `AWS::S3::MultiRegionAccessPoint`
**AWS Config règle :** `s3-mrap-public-access-blocked` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les paramètres de blocage de l'accès public sont activés sur un point d'accès multirégional Amazon S3. Le contrôle échoue lorsque les paramètres de blocage de l'accès public ne sont pas activés sur le point d'accès multirégional.
Les ressources accessibles au public peuvent entraîner un accès non autorisé, des violations de données ou l'exploitation de vulnérabilités. La restriction de l'accès par le biais de mesures d'authentification et d'autorisation permet de protéger les informations sensibles et de préserver l'intégrité de vos ressources.
### Correction
Par défaut, tous les paramètres de blocage de l'accès public sont activés pour un point d'accès multirégional S3. Pour plus d'informations, consultez la section [Blocage de l'accès public avec les points d'accès multirégionaux Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*. Vous ne pouvez pas modifier les paramètres de blocage de l'accès public après la création du point d'accès multi-régions.
## [S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
**Catégorie :** Protéger > Protection des données
**Gravité : ** Faible
**Type de ressource :** `AWS::S3Express::DirectoryBucket`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `targetExpirationDays` | Le nombre de jours, après la création de l'objet, pendant lesquels les objets doivent expirer. | Entier | `1` sur `2147483647` | Aucune valeur par défaut |
Ce contrôle vérifie si des règles de cycle de vie sont configurées pour un compartiment d'annuaire S3. Le contrôle échoue si les règles de cycle de vie ne sont pas configurées pour le compartiment de répertoire ou si une règle de cycle de vie pour le compartiment spécifie des paramètres d'expiration qui ne correspondent pas à la valeur de paramètre que vous spécifiez éventuellement.
Dans Amazon S3, une configuration du cycle de vie est un ensemble de règles qui définissent les actions qu'Amazon S3 doit appliquer à un groupe d'objets dans un compartiment. Pour un compartiment d'annuaire S3, vous pouvez créer une règle de cycle de vie qui spécifie la date d'expiration des objets en fonction de leur âge (en jours). Vous pouvez également créer une règle de cycle de vie qui supprime les téléchargements partitionnés incomplets. Contrairement aux autres types de compartiments S3, tels que les compartiments à usage général, les compartiments de répertoire ne prennent pas en charge d'autres types d'actions relatives aux règles de cycle de vie, telles que la transition d'objets entre les classes de stockage.
### Correction
Pour définir une configuration de cycle de vie pour un compartiment d'annuaire S3, créez une règle de cycle de vie pour le compartiment. Pour plus d'informations, consultez la section [Création et gestion d'une configuration de cycle de vie pour votre compartiment d'annuaire](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
# Contrôles Security Hub CSPM pour l'IA SageMaker
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon SageMaker AI. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet
**Exigences connexes :** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès direct à Internet est désactivé pour une instance de bloc-notes SageMaker AI. Le contrôle échoue si le `DirectInternetAccess` champ est activé pour l'instance de bloc-notes.
Si vous configurez votre instance SageMaker AI sans VPC, l'accès direct à Internet est activé par défaut sur votre instance. Vous devez configurer votre instance avec un VPC et modifier le paramètre par défaut sur **Disable—Accéder à Internet via un** VPC. Pour entraîner ou héberger des modèles à partir d'un ordinateur portable, vous devez avoir accès à Internet. Pour permettre l'accès à Internet, votre VPC doit disposer d'un point de terminaison d'interface (AWS PrivateLink) ou d'une passerelle NAT et d'un groupe de sécurité qui autorise les connexions sortantes. Pour en savoir plus sur la façon de connecter une instance de bloc-notes aux ressources d'un VPC, consultez la section [Connecter une instance de bloc-notes aux ressources d'un VPC dans](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) le manuel *Amazon SageMaker * AI Developer Guide. Vous devez également vous assurer que l'accès à votre configuration SageMaker AI est limité aux seuls utilisateurs autorisés. Limitez les autorisations IAM qui permettent aux utilisateurs de modifier les paramètres et les ressources de l' SageMaker IA.
### Correction
Vous ne pouvez pas modifier le paramètre d'accès à Internet après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance avec un accès Internet bloqué. Pour supprimer une instance de bloc-notes qui permet un accès direct à Internet, consultez la section [Utiliser des instances de bloc-notes pour créer des modèles : nettoyage](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) dans le manuel *Amazon SageMaker AI Developer Guide*. Pour recréer une instance de bloc-notes qui refuse l'accès à Internet, consultez la section [Créer une instance de bloc-notes](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html). Pour **Réseau, Accès direct à Internet**, choisissez **Désactiver : accéder à Internet via un VPC**.
## [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Catégorie : Protection** > Configuration réseau sécurisée > Ressources au sein du VPC
**Gravité :** Élevée
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est lancée dans un cloud privé virtuel (VPC) personnalisé. Ce contrôle échoue si une instance de bloc-notes SageMaker AI n'est pas lancée dans un VPC personnalisé ou si elle est lancée dans le VPC du service SageMaker AI.
Les sous-réseaux sont une plage d'adresses IP au sein d'un VPC. Nous vous recommandons de conserver vos ressources dans un VPC personnalisé dans la mesure du possible afin de garantir une protection réseau sécurisée de votre infrastructure. Un Amazon VPC est un réseau virtuel dédié à votre. Compte AWS Avec un Amazon VPC, vous pouvez contrôler l'accès au réseau et la connectivité Internet de vos instances d' SageMaker AI Studio et de bloc-notes.
### Correction
Vous ne pouvez pas modifier le paramètre VPC après avoir créé une instance de bloc-notes. Au lieu de cela, vous pouvez arrêter, supprimer et recréer l'instance. Pour obtenir des instructions, consultez la section [Utiliser des instances de bloc-notes pour créer des modèles : nettoyage](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Catégorie : Protection** > Gestion des accès sécurisés > Restrictions d'accès des utilisateurs root
**Gravité :** Élevée
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'accès root est activé pour une instance de bloc-notes Amazon SageMaker AI. Le contrôle échoue si l'accès root est activé pour une instance de bloc-notes SageMaker AI.
Conformément au principe du moindre privilège, il est recommandé en matière de sécurité de restreindre l'accès root aux ressources de l'instance afin d'éviter un surprovisionnement involontaire des autorisations.
### Correction
Pour restreindre l'accès root aux instances de bloc-notes SageMaker AI, consultez la section [Contrôler l'accès root à une instance de bloc-notes SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SA-1 3
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::EndpointConfig`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les variantes de production d'un point de terminaison Amazon SageMaker AI ont un nombre initial d'instances supérieur à 1. Le contrôle échoue si les variantes de production du point de terminaison ne possèdent qu'une seule instance initiale.
Les variantes de production exécutées avec un nombre d'instances supérieur à 1 permettent la redondance des instances multi-AZ gérée par l'IA. SageMaker Le déploiement de ressources sur plusieurs zones de disponibilité est une AWS bonne pratique pour garantir une haute disponibilité au sein de votre architecture. La haute disponibilité vous aide à vous remettre d'un incident de sécurité.
**Note**
Ce contrôle s'applique uniquement à la configuration du point de terminaison basée sur une instance.
### Correction
Pour plus d'informations sur les paramètres de configuration d'un point de terminaison, consultez la section [Créer une configuration de point de terminaison](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::Model`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée sur un modèle hébergé par Amazon SageMaker AI. Le contrôle échoue si le `EnableNetworkIsolation` paramètre du modèle hébergé est défini sur`False`.
SageMaker La formation à l'IA et les conteneurs d'inférence déployés sont compatibles avec Internet par défaut. Si vous ne souhaitez pas que l' SageMaker IA fournisse un accès réseau externe à vos conteneurs de formation ou d'inférence, vous pouvez activer l'isolation du réseau. Si vous activez l'isolation du réseau, aucun appel réseau entrant ou sortant ne peut être effectué vers ou depuis le conteneur modèle, y compris les appels vers ou depuis un autre conteneur. Services AWS En outre, aucune information AWS d'identification n'est mise à la disposition de l'environnement d'exécution du conteneur. L'activation de l'isolation du réseau permet d'empêcher tout accès involontaire à vos ressources d' SageMaker IA depuis Internet.
**Note**
Le 13 août 2025, Security Hub CSPM a modifié le titre et la description de ce contrôle. Le nouveau titre et la nouvelle description reflètent plus précisément le fait que le contrôle vérifie le réglage du `EnableNetworkIsolation` paramètre des modèles hébergés par Amazon SageMaker AI. Auparavant, le titre de ce contrôle était : *SageMaker models should block inbound traffic*.
### Correction
Pour plus d'informations sur l'isolation du réseau pour les modèles d' SageMaker IA, consultez la section [Exécuter des conteneurs d'entraînement et d'inférence en mode sans Internet dans le](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) manuel *Amazon SageMaker AI Developer Guide*. Lorsque vous créez un modèle, vous pouvez activer l'isolation du réseau en définissant la valeur du `EnableNetworkIsolation` paramètre sur`True`.
## [SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SageMaker::AppImageConfig`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si la configuration d'image d'une application Amazon SageMaker AI (`AppImageConfig`) possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si la configuration de l'image de l'application ne comporte aucune clé de balise ou si toutes les clés spécifiées par le `requiredKeyTags` paramètre ne sont pas présentes. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la configuration de l'image de l'application ne comporte aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour ajouter des balises à la configuration d'une image d'une application Amazon SageMaker AI (`AppImageConfig`), vous pouvez utiliser le [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)fonctionnement de l'API SageMaker AI ou, si vous utilisez la AWS CLI, exécuter la commande [add tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.7] les SageMaker images doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SageMaker::Image`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une image Amazon SageMaker AI possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si l'image ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'image ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour ajouter des balises à une image Amazon SageMaker AI, vous pouvez [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)utiliser l'API SageMaker AI ou, si vous utilisez la AWS CLI, exécuter la commande [add tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge
**Catégorie :** Détecter > Gestion des vulnérabilités, des correctifs et des versions
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::NotebookInstance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)
**Type de calendrier :** Périodique
**Paramètres :**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (non personnalisable)
Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est configurée pour s'exécuter sur une plate-forme prise en charge, en fonction de l'identifiant de plate-forme spécifié pour l'instance de bloc-notes. Le contrôle échoue si l'instance du bloc-notes est configurée pour s'exécuter sur une plate-forme qui n'est plus prise en charge.
Si la plate-forme d'une instance de bloc-notes Amazon SageMaker AI n'est plus prise en charge, elle risque de ne pas recevoir de correctifs de sécurité, de corrections de bogues ou d'autres types de mises à jour. Les instances Notebook peuvent continuer à fonctionner, mais elles ne recevront pas de mises à jour de sécurité SageMaker liées à l'IA ni de corrections de bogues critiques. Vous assumez les risques associés à l'utilisation d'une plateforme non prise en charge. Pour plus d'informations, consultez la section [JupyterLabGestion des versions](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
### Correction
Pour plus d'informations sur les plateformes actuellement prises en charge par Amazon SageMaker AI et sur la manière de les migrer, consultez les [instances de bloc-notes Amazon Linux 2](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::DataQualityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du trafic entre conteneurs est activé dans le cadre d'une définition de tâche de qualité des données Amazon SageMaker AI. Le contrôle échoue si le chiffrement du trafic entre conteneurs n'est pas activé dans la définition d'une tâche qui surveille la qualité et la dérive des données.
L'activation du chiffrement du trafic entre conteneurs protège les données ML sensibles lors du traitement distribué à des fins d'analyse de la qualité des données.
### Correction
Pour plus d'informations sur le chiffrement du trafic inter-conteneurs pour Amazon SageMaker AI, consultez la section [Protect communications between ML Compute Instances in a Distributed Training Job](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) dans le manuel *Amazon SageMaker AI Developer Guide*. Lorsque vous créez une définition de tâche de qualité des données, vous pouvez activer le chiffrement du trafic inter-conteneurs en définissant la valeur du `EnableInterContainerTrafficEncryption` paramètre sur. `True`
## [SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du trafic inter-conteneurs est activé dans une définition de tâche d'explicabilité du SageMaker modèle Amazon. Le contrôle échoue si le chiffrement du trafic inter-conteneurs n'est pas activé dans la définition de la tâche d'explicabilité du modèle.
L'activation du chiffrement du trafic inter-conteneurs protège les données ML sensibles telles que les données de modèle, les ensembles de données d'entraînement, les résultats de traitement intermédiaires, les paramètres et les poids des modèles lors du traitement distribué à des fins d'analyse d'explicabilité.
### Correction
Pour la définition d'une tâche d'explicabilité d'un SageMaker modèle existant, le chiffrement du trafic inter-conteneurs ne peut pas être mis à jour en place. Pour créer une nouvelle définition de tâche explicable du SageMaker modèle avec le chiffrement du trafic inter-conteneurs activé, utilisez l'API [ou](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) la [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) ou définissez [ CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)sur. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)`True`
## [SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::DataQualityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée dans une définition de tâche de surveillance de la qualité des données Amazon SageMaker AI. Le contrôle échoue si l'isolation du réseau est désactivée lors de la définition d'une tâche qui surveille la qualité et la dérive des données.
L'isolation du réseau réduit la surface d'attaque et empêche l'accès externe, protégeant ainsi contre tout accès externe non autorisé, toute exposition accidentelle aux données et toute exfiltration potentielle de données.
### Correction
Pour plus d'informations sur l'isolation du réseau pour l' SageMaker IA, consultez la section [Exécuter des conteneurs d'entraînement et d'inférence en mode sans Internet dans le](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) manuel *Amazon SageMaker AI Developer Guide*. Lorsque vous créez une définition de tâche de qualité des données, vous pouvez activer l'isolation du réseau en définissant la valeur du `EnableNetworkIsolation` paramètre sur`True`.
## [SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée
**Catégorie : Protection** > Configuration réseau sécurisée > Configuration de la politique de ressources
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelBiasJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée dans une définition de tâche basée sur le biais d'un SageMaker modèle. Le contrôle échoue si l'isolation du réseau n'est pas activée dans la définition de la tâche de polarisation du modèle.
L'isolation du réseau empêche les tâches basées sur le biais du SageMaker modèle de communiquer avec des ressources externes via Internet. En activant l'isolation du réseau, vous vous assurez que les conteneurs de la tâche ne peuvent pas établir de connexions sortantes, réduisant ainsi la surface d'attaque et protégeant les données sensibles contre l'exfiltration. Cela est particulièrement important pour les tâches traitant des données réglementées ou sensibles.
### Correction
Pour activer l'isolation du réseau, vous devez créer une nouvelle définition de tâche de polarisation du modèle avec `EnableNetworkIsolation` le paramètre défini sur`True`. L'isolation du réseau ne peut pas être modifiée après la création de la définition de tâche. Pour créer une nouvelle définition de tâche basée sur le biais du modèle, consultez [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelQualityJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement en transit est activé pour le trafic entre conteneurs dans les définitions de tâches liées à la qualité des SageMaker modèles Amazon. Le contrôle échoue si le chiffrement du trafic inter-conteneurs n'est pas activé dans la définition d'une tâche de qualité du modèle.
Le chiffrement du trafic entre conteneurs protège les données transmises entre les conteneurs lors des tâches de surveillance de la qualité des modèles distribués. Par défaut, le trafic entre conteneurs n'est pas chiffré. L'activation du chiffrement permet de préserver la confidentialité des données pendant le traitement et de garantir le respect des exigences réglementaires en matière de protection des données en transit.
### Correction
Pour activer le chiffrement du trafic entre conteneurs pour la définition de tâche de qualité de votre SageMaker modèle Amazon, vous devez recréer la définition de tâche avec la configuration de chiffrement en transit appropriée. Pour créer une définition de tâche de qualité modèle, consultez [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)le manuel *Amazon SageMaker AI Developer Guide*.
## [SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::MonitoringSchedule`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'isolation du réseau est activée dans les plannings de SageMaker surveillance Amazon. Le contrôle échoue si un programme de surveillance est EnableNetworkIsolation défini sur faux ou n'est pas configuré
L'isolation du réseau empêche les tâches de surveillance de passer des appels réseau sortants, réduisant ainsi la surface d'attaque en éliminant l'accès à Internet depuis les conteneurs.
### Correction
Pour plus d'informations sur la configuration de l'isolation du réseau dans le NetworkConfig paramètre lors de la création ou de la mise à jour d'un calendrier de surveillance, consultez [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)le manuel *Amazon SageMaker AI Developer Guide*. [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)
## [SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SageMaker::ModelBiasJobDefinition`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement du trafic inter-conteneurs est activé dans les définitions de tâches basées sur le SageMaker modèle Amazon lors de l'utilisation de plusieurs instances de calcul. Le contrôle échoue s'il `EnableInterContainerTrafficEncryption` est défini sur false ou s'il n'est pas configuré pour les définitions de tâches dont le nombre d'instances est supérieur ou égal à 2.
EInter-le chiffrement du trafic des conteneurs protège les données transmises entre les instances de calcul lors des tâches de surveillance du biais des modèles distribués. Le chiffrement empêche l'accès non autorisé aux informations relatives au modèle, telles que les poids transmis entre les instances.
### Correction
Pour activer le chiffrement du trafic entre conteneurs pour les définitions de tâches basées sur le biais du SageMaker modèle, définissez le `EnableInterContainerTrafficEncryption` paramètre sur `True` lorsque la définition de tâche utilise plusieurs instances de calcul. Pour plus d'informations sur la protection des communications entre les instances de calcul ML, consultez la section [Protéger les communications entre les instances de calcul ML dans le cadre d'un job de formation distribué](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) dans le manuel *Amazon SageMaker AI Developer Guide*.
# Contrôles CSPM de Security Hub pour Secrets Manager
Ces AWS Security Hub CSPM contrôles évaluent le AWS Secrets Manager service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::SecretsManager::Secret`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `maximumAllowedRotationFrequency` | Nombre maximum de jours autorisés pour la fréquence de rotation secrète | Entier | `1` sur `365` | Aucune valeur par défaut |
Ce contrôle vérifie si un secret stocké dans AWS Secrets Manager est configuré avec une rotation automatique. Le contrôle échoue si le secret n'est pas configuré avec une rotation automatique. Si vous fournissez une valeur personnalisée pour le `maximumAllowedRotationFrequency` paramètre, le contrôle est transféré uniquement si le secret est automatiquement pivoté dans la fenêtre de temps spécifiée.
Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.
Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets. Pour en savoir plus sur la rotation, voir Rotation de [vos AWS Secrets Manager secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) dans le *guide de AWS Secrets Manager l'utilisateur*.
### Correction
Pour activer la rotation automatique pour les secrets de Secrets Manager, voir [Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) dans le *Guide de AWS Secrets Manager l'utilisateur*. Vous devez choisir et configurer une AWS Lambda fonction de rotation.
## [SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Catégorie :** Protéger - Développement sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::SecretsManager::Secret`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS Secrets Manager secret a été correctement pivoté en fonction du calendrier de rotation. Le contrôle échoue si tel `RotationOccurringAsScheduled` est le cas`false`. Le contrôle évalue uniquement les secrets dont la rotation est activée.
Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.
Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets.
En plus de configurer les secrets pour qu'ils pivotent automatiquement, vous devez vous assurer que ces secrets pivotent correctement en fonction du calendrier de rotation.
Pour en savoir plus sur la rotation, voir Rotation de [vos AWS Secrets Manager secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) dans le *guide de AWS Secrets Manager l'utilisateur*.
### Correction
Si la rotation automatique échoue, il est possible que Secrets Manager ait rencontré des erreurs lors de la configuration. Pour alterner les secrets dans Secrets Manager, vous utilisez une fonction Lambda qui définit la manière d'interagir avec la base de données ou le service propriétaire du secret.
Pour obtenir de l'aide pour diagnostiquer et corriger les erreurs courantes liées à la rotation des secrets, consultez la section [Résolution des problèmes liés à la AWS Secrets Manager rotation des secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) dans le *Guide de AWS Secrets Manager l'utilisateur*.
## [SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
**Exigences connexes :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::SecretsManager::Secret`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `unusedForDays` | Nombre maximal de jours pendant lesquels un secret peut rester inutilisé | Entier | `1` sur `365` | `90` |
Ce contrôle vérifie si un AWS Secrets Manager secret a été consulté dans le délai spécifié. Le contrôle échoue si un secret n'est pas utilisé au-delà de la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période d'accès, Security Hub CSPM utilise une valeur par défaut de 90 jours.
La suppression des secrets inutilisés est aussi importante que la rotation des secrets. Les secrets non utilisés peuvent être utilisés à mauvais escient par leurs anciens utilisateurs, qui n'ont plus besoin d'accéder à ces secrets. De plus, au fur et à mesure que de plus en plus d'utilisateurs accèdent à un secret, quelqu'un peut l'avoir mal géré et divulgué à une entité non autorisée, ce qui augmente le risque d'abus. La suppression des secrets non utilisés permet de révoquer l'accès secret aux utilisateurs qui n'en ont plus besoin. Cela permet également de réduire le coût d'utilisation de Secrets Manager. Il est donc essentiel de supprimer régulièrement les secrets non utilisés.
### Correction
Pour supprimer les secrets inactifs de Secrets Manager, voir [Supprimer un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) dans le *Guide de AWS Secrets Manager l'utilisateur*.
## [SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
**Exigences associées :** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::SecretsManager::Secret`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)
**Type de calendrier :** Périodique
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `maxDaysSinceRotation` | Nombre maximum de jours pendant lesquels un secret peut rester inchangé | Entier | `1` sur `180` | `90` |
Ce contrôle vérifie si un AWS Secrets Manager secret fait l'objet d'une rotation au moins une fois dans le délai spécifié. Le contrôle échoue si un secret n'est pas modifié au moins aussi fréquemment. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de rotation, Security Hub CSPM utilise une valeur par défaut de 90 jours.
La rotation des secrets peut vous aider à réduire le risque d'utilisation non autorisée de vos secrets dans votre Compte AWS. Les exemples incluent les informations d'identification de base de données, les mots de passe, les clés d'API tierces et même le texte arbitraire. Si vous ne modifiez pas vos secrets pendant une longue période, ils sont plus susceptibles d'être compromis.
À mesure que de plus en plus d'utilisateurs ont accès à un secret, il est plus probable que quelqu'un l'ait mal géré et l'ait divulgué à une entité non autorisée. Les secrets peuvent être divulgués à travers les journaux et les données de cache. Ils peuvent être partagés à des fins de débogage et ne pas être modifiés ou révoqués une fois le débogage terminé. Pour toutes ces raisons, les secrets doivent faire l’objet d’une rotation fréquente.
Vous pouvez configurer la rotation automatique pour les secrets dans AWS Secrets Manager. Grâce à la rotation automatique, vous pouvez remplacer les secrets à long terme par des secrets à court terme, réduisant ainsi considérablement le risque de compromission. Nous vous recommandons de configurer la rotation automatique de vos secrets Secrets Manager. Pour plus d’informations, consultez [Rotation de vos secrets AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) dans le *Guide de l’utilisateur AWS Secrets Manager *.
### Correction
Pour activer la rotation automatique pour les secrets de Secrets Manager, voir [Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) dans le *Guide de AWS Secrets Manager l'utilisateur*. Vous devez choisir et configurer une AWS Lambda fonction de rotation.
## [SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SecretsManager::Secret`
**AWS Config règle :** `tagged-secretsmanager-secret` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS Secrets Manager secret possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le secret ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le secret n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un secret de Secrets Manager, voir [Tag AWS Secrets Manager secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) dans le *Guide de AWS Secrets Manager l'utilisateur*.
# Contrôles Security Hub CSPM pour AWS Service Catalog
Ce AWS Security Hub CSPM contrôle évalue le AWS Service Catalog service et les ressources. Il se peut que le contrôle ne soit pas disponible du tout Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation
**Exigences connexes :** NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Gestion de l'accès sécurisé
**Gravité :** Moyenne
**Type de ressource :** `AWS::ServiceCatalog::Portfolio`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si des AWS Service Catalog actions sont des portefeuilles au sein d'une organisation lorsque l'intégration AWS Organizations est activée. Le contrôle échoue si les portefeuilles ne sont pas partagés au sein d'une organisation.
Le partage de portfolio uniquement au sein des Organisations permet de garantir qu'un portfolio n'est pas partagé avec des personnes incorrectes Comptes AWS. Pour partager un portefeuille de Service Catalog avec un compte au sein d'une organisation, Security Hub CSPM recommande d'utiliser `ORGANIZATION_MEMBER_ACCOUNT` plutôt que. `ACCOUNT` Cela simplifie l'administration en régissant l'accès accordé au compte dans l'ensemble de l'organisation. Si votre entreprise a besoin de partager des portefeuilles Service Catalog avec un compte externe, vous pouvez [supprimer automatiquement les résultats](automation-rules.md) de ce contrôle ou le [désactiver](disable-controls-overview.md).
### Correction
Pour activer le partage de portefeuille avec AWS Organizations, voir [Partage avec AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) dans le *guide de AWS Service Catalog l'administrateur*.
# Contrôles Security Hub CSPM pour Amazon SES
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Simple Email Service (Amazon SES).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SES.1] Les listes de contacts SES doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SES::ContactList`
**AWS Config règle :** `tagged-ses-contactlist` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une liste de contacts Amazon SES comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la liste de contacts ne comporte aucune clé de balise ou si elle ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la liste de contacts n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une liste de contacts Amazon SES, consultez [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)le manuel *Amazon SES API v2 Reference*.
## [SES.2] Les ensembles de configuration SES doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SES::ConfigurationSet`
**AWS Config règle :** `tagged-ses-configurationset` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un ensemble de configuration Amazon SES comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le jeu de configuration ne comporte aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le jeu de configuration n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un ensemble de configuration Amazon SES, consultez [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)le manuel *Amazon SES API v2 Reference*.
## [SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::SES::ConfigurationSet`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un ensemble de configuration Amazon SES nécessite des connexions TLS. Le contrôle échoue si la politique TLS n'est pas définie sur un ensemble de configuration. `'REQUIRE'`
Par défaut, Amazon SES utilise le protocole TLS opportuniste, ce qui signifie que les e-mails peuvent être envoyés non chiffrés s'il est impossible d'établir une connexion TLS avec le serveur de messagerie destinataire. L'application du protocole TLS pour l'envoi d'e-mails garantit que les messages ne sont délivrés que lorsqu'une connexion cryptée sécurisée peut être établie. Cela permet de protéger la confidentialité et l'intégrité du contenu des e-mails lors de leur transmission entre Amazon SES et le serveur de messagerie du destinataire. S'il n'est pas possible d'établir une connexion TLS sécurisée, le message ne sera pas délivré, empêchant ainsi toute exposition potentielle d'informations sensibles.
**Note**
Bien que le protocole TLS 1.3 soit le mode de livraison par défaut pour Amazon SES, sans l'application des exigences TLS par le biais d'ensembles de configuration, les messages peuvent potentiellement être envoyés en texte brut en cas d'échec d'une connexion TLS. Pour passer ce contrôle, vous devez configurer la politique TLS `'REQUIRE'` dans les options de livraison de votre ensemble de configuration SES. Lorsque le protocole TLS est requis, les messages ne sont délivrés que s'il est possible d'établir une connexion TLS avec le serveur de courrier récepteur.
### Correction
Pour configurer Amazon SES afin d'exiger des connexions TLS pour un ensemble de configuration, consultez [Amazon SES et les protocoles de sécurité](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) dans le *manuel du développeur Amazon SES*.
# Contrôles Security Hub CSPM pour Amazon SNS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Simple Notification Service (Amazon SNS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6), NIST.800-171.R2 3.13.11, NIST.800-171.R2 3.13.16
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::SNS::Topic`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une rubrique Amazon SNS est chiffrée au repos à l'aide de clés gérées dans AWS Key Management Service ()AWS KMS. Les contrôles échouent si la rubrique SNS n'utilise pas de clé KMS pour le chiffrement côté serveur (SSE). Par défaut, SNS stocke les messages et les fichiers à l'aide du chiffrement du disque. Pour passer ce contrôle, vous devez choisir d'utiliser plutôt une clé KMS pour le chiffrement. Cela ajoute une couche de sécurité supplémentaire et offre une plus grande flexibilité en matière de contrôle d'accès.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Les autorisations d'API sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues. Nous recommandons de chiffrer les rubriques SNS à l'aide de clés KMS pour renforcer la sécurité.
### Correction
Pour activer SSE pour une rubrique SNS, consultez la section [Activation du chiffrement côté serveur (SSE) pour une rubrique Amazon SNS dans le manuel Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) *Simple* Notification Service Developer Guide. Avant de pouvoir utiliser SSE, vous devez également configurer des AWS KMS key politiques pour autoriser le chiffrement des sujets ainsi que le chiffrement et le déchiffrement des messages. Pour plus d'informations, consultez [la section Configuration AWS KMS des autorisations](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) dans le *guide du développeur Amazon Simple Notification Service*.
## [SNS.2] L'enregistrement de l'état de livraison doit être activé pour les messages de notification envoyés à un sujet
**Important**
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter [Journal des modifications pour les contrôles CSPM de Security Hub](controls-change-log.md).
**Exigences connexes :** NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::SNS::Topic`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour l'état de livraison des messages de notification envoyés à une rubrique Amazon SNS pour les points de terminaison. Ce contrôle échoue si la notification de l'état de livraison des messages n'est pas activée.
La journalisation joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances des services. L'enregistrement de l'état de livraison des messages permet de fournir des informations opérationnelles, telles que les suivantes :
+ Savoir si un message a été distribué au point de terminaison Amazon SNS.
+ Identifiez la réponse envoyée à Amazon SNS par le point de terminaison Amazon SNS.
+ Déterminer le temps d'attente du message (le temps entre l'horodatage de publication et le transfert vers un point de terminaison Amazon SNS).
### Correction
Pour configurer l'enregistrement du statut de livraison pour un sujet, consultez le [statut de livraison des messages Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) dans le manuel du *développeur Amazon Simple Notification Service*.
## [SNS.3] Les sujets SNS doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SNS::Topic`
**AWS Config règle :** `tagged-sns-topic` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une rubrique Amazon SNS comporte des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si le sujet ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le sujet n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une rubrique SNS, consultez la [section Configuration des balises de rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) dans le manuel *Amazon Simple Notification Service* Developer Guide.
## [SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::SNS::Topic`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la politique d'accès aux rubriques Amazon SNS autorise l'accès public. Ce contrôle échoue si la politique d'accès aux rubriques du SNS autorise l'accès public.
Vous utilisez une politique d'accès Amazon SNS avec une rubrique particulière afin de limiter les personnes autorisées à travailler sur cette rubrique (par exemple, qui peut publier des messages ou s'y abonner). Les politiques SNS peuvent accorder l'accès à d'autres Comptes AWS utilisateurs ou à des utilisateurs appartenant aux vôtres. Compte AWS L'ajout d'un caractère générique (\$1) dans le `Principal` champ de la politique thématique et l'absence de conditions limitant la politique thématique peuvent entraîner une exfiltration de données, un déni de service ou une injection indésirable de messages dans votre service par un attaquant.
**Note**
Ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique d'accès Amazon SNS pour une rubrique doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
### Correction
Pour mettre à jour les politiques d'accès relatives à une rubrique SNS, consultez la section [Présentation de la gestion des accès dans Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) SNS dans le manuel *Amazon Simple Notification Service* Developer Guide.
# Contrôles Security Hub CSPM pour Amazon SQS
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Simple Queue Service (Amazon SQS). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::SQS::Queue`
**AWS Config règle :** `sqs-queue-encrypted` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une file d'attente Amazon SQS est chiffrée au repos. Le contrôle échoue si la file d'attente n'est pas chiffrée avec une clé gérée par SQS (SSE-SQS) ou une clé () AWS Key Management Service (SSE-KMS AWS KMS).
Le chiffrement des données au repos réduit le risque qu'un utilisateur non autorisé accède aux données stockées sur disque. Le chiffrement côté serveur (SSE) protège le contenu des messages dans les files d'attente SQS à l'aide de clés de chiffrement (SSE-SQS) ou de clés (SSE-KMS) gérées par SQS. AWS KMS
### Correction
Pour configurer SSE pour une file d'attente SQS, consultez la [section Configuration du chiffrement côté serveur (SSE) pour une file d'attente (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) dans le manuel *Amazon Simple Queue Service* Developer Guide.
## [SQS.2] Les files d'attente SQS doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SQS::Queue`
**AWS Config règle :** `tagged-sqs-queue` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une file d'attente Amazon SQS possède des balises avec les clés spécifiques définies dans le paramètre. `requiredTagKeys` Le contrôle échoue si la file d'attente ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la file d'attente n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une file d'attente existante à l'aide de la console Amazon SQS, consultez la [section Configuration des balises de répartition des coûts pour une file d'attente Amazon SQS (console)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) dans le guide du développeur *Amazon Simple Queue Service*.
## [SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::SQS::Queue`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Cela permet de vérifier si une politique d'accès Amazon SQS autorise l'accès public à une file d'attente SQS. Le contrôle échoue si une politique d'accès SQS autorise l'accès public à la file d'attente.
Une politique d'accès Amazon SQS peut autoriser l'accès public à une file d'attente SQS, ce qui peut permettre à un utilisateur anonyme ou à toute identité AWS IAM authentifiée d'accéder à la file d'attente. Les politiques d'accès SQS fournissent généralement cet accès en spécifiant le caractère générique (`*`) dans l'`Principal`élément de la politique, sans utiliser les conditions appropriées pour restreindre l'accès à la file d'attente, ou les deux. Si une politique d'accès SQS autorise l'accès public, des tiers peuvent être en mesure d'effectuer des tâches telles que recevoir des messages de la file d'attente, envoyer des messages à la file d'attente ou modifier la politique d'accès de la file d'attente. Cela peut entraîner des événements tels que l'exfiltration de données, un déni de service ou l'injection de messages dans la file d'attente par un acteur malveillant.
**Note**
Ce contrôle n'évalue pas les conditions de politique qui utilisent des caractères génériques ou des variables. Pour produire un `PASSED` résultat, les conditions de la politique d'accès Amazon SQS pour une file d'attente doivent uniquement utiliser des valeurs fixes, c'est-à-dire des valeurs qui ne contiennent pas de caractères génériques ni de variables de politique. Pour plus d'informations sur les variables de politique, reportez-vous à la section [Variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) du *Guide de Gestion des identités et des accès AWS l'utilisateur*.
### Correction
Pour plus d'informations sur la configuration de la politique d'accès SQS pour une file d'attente SQS, consultez la section [Utilisation de politiques personnalisées avec le langage de politique d'accès Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) dans le guide du développeur *Amazon Simple Queue Service*.
# Contrôles Security Hub CSPM pour Step Functions
Ces AWS Security Hub CSPM contrôles évaluent le AWS Step Functions service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
**Exigences connexes :** PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::StepFunctions::StateMachine`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `logLevel` | Niveau de journalisation minimal | Enum | `ALL, ERROR, FATAL` | Aucune valeur par défaut |
Cela permet de vérifier si la journalisation est activée sur une machine à AWS Step Functions états. Le contrôle échoue si la journalisation n'est pas activée sur une machine à états. Si vous fournissez une valeur personnalisée pour le `logLevel` paramètre, le contrôle est transmis uniquement si le niveau de journalisation spécifié est activé sur la machine à états.
La surveillance vous aide à maintenir la fiabilité, la disponibilité et les performances de Step Functions. Vous devez collecter autant de données de surveillance Services AWS que celles que vous utilisez afin de pouvoir corriger plus facilement les défaillances multipoints. Une configuration de journalisation définie pour vos machines d'état Step Functions vous permet de suivre l'historique d'exécution et les résultats dans Amazon CloudWatch Logs. Vous pouvez éventuellement suivre uniquement les erreurs ou les événements fatals.
### Correction
Pour activer la journalisation pour une machine à états Step Functions, voir [Configurer la journalisation](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) dans le *Guide du AWS Step Functions développeur*.
## [StepFunctions.2] Les activités de Step Functions doivent être étiquetées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::StepFunctions::Activity`
**AWS Config règle :** `tagged-stepfunctions-activity` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS Step Functions activité possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si l'activité ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentes`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'activité n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une activité Step Functions, voir [Tagging in Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) dans le *manuel du AWS Step Functions développeur*.
# Contrôles Security Hub CSPM pour Systems Manager
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources AWS Systems Manager (SSM). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager
**Exigences associées :** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8), NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-2 (3) NIST.800-53.r5 SA-3
**Catégorie :** Identifier - Inventaire
**Gravité :** Moyenne
**Ressource évaluée :** `AWS::EC2::Instance`
**Ressources AWS Config d'enregistrement requises :**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les instances EC2 arrêtées et en cours d'exécution de votre compte sont gérées par AWS Systems Manager. Systems Manager est un Service AWS outil que vous pouvez utiliser pour visualiser et contrôler votre AWS infrastructure.
Pour vous aider à maintenir la sécurité et la conformité, Systems Manager analyse vos instances gérées arrêtées et en cours d'exécution. Une instance gérée est une machine configurée pour être utilisée avec Systems Manager. Systems Manager signale ensuite ou prend des mesures correctives en cas de violation des politiques détectées. Systems Manager vous permet également de configurer et de gérer vos instances gérées. Pour en savoir plus, consultez le [AWS Systems Manager guide de l'utilisateur](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).
**Note**
Ce contrôle génère des `FAILED` résultats pour les instances EC2 qui sont des instances de AWS Elastic Disaster Recovery Replication Server gérées par AWS. Une instance de serveur de réplication est une instance EC2 lancée automatiquement par AWS Elastic Disaster Recovery pour prendre en charge la réplication continue des données à partir des serveurs sources. AWS supprime intentionnellement l'agent Systems Manager (SSM) de ces instances afin de maintenir l'isolation et d'empêcher d'éventuels chemins d'accès involontaires.
### Correction
Pour plus d'informations sur la gestion des instances EC2 avec AWS Systems Manager, consultez la section Gestion des [hôtes Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) dans *AWS Systems Manager le guide de l'*utilisateur. Dans la section **Options de configuration** de la AWS Systems Manager console, vous pouvez conserver les paramètres par défaut ou les modifier selon les besoins de votre configuration préférée.
## [SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif
**Exigences connexes :** NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (5), NIST.800-171.R2 3.7.1, PCI DSS v3.3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Catégorie :** Détecter - Services de détection
**Gravité :** Élevée
**Type de ressource :** `AWS::SSM::PatchCompliance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'état de conformité du correctif de Systems Manager est `COMPLIANT` ou `NON_COMPLIANT` après l'installation du correctif sur l'instance. Le contrôle échoue si le statut de conformité est`NON_COMPLIANT`. Le contrôle vérifie uniquement les instances gérées par Systems Manager Patch Manager.
L'application de correctifs à vos instances EC2 selon les besoins de votre organisation réduit la surface d'attaque de votre Comptes AWS
### Correction
Systems Manager recommande d'utiliser des [politiques de correctifs](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) pour configurer l'application de correctifs pour vos instances gérées. Vous pouvez également utiliser [les documents Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), comme décrit dans la procédure suivante, pour patcher une instance.
**Pour corriger les correctifs non conformes**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Pour **la gestion des nœuds**, choisissez **Exécuter la commande**, puis sélectionnez **Exécuter la commande**.
1. Choisissez l'option pour **AWS- RunPatchBaseline**.
1. Passez l'**Operation (Opération)** à **Install (Installer)**.
1. Choisissez **Choisir les instances manuellement**, puis choisissez les instances non conformes.
1. Cliquez sur **Exécuter**.
1. Une fois la commande terminée, pour surveiller le nouveau statut de conformité de vos instances corrigées, choisissez **Compliance** dans le volet de navigation.
## [SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-8 (1), NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Catégorie :** Détecter - Services de détection
**Gravité : ** Faible
**Type de ressource :** `AWS::SSM::AssociationCompliance`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le statut de conformité de l' AWS Systems Manager association est `COMPLIANT` ou `NON_COMPLIANT` après l'exécution de l'association sur une instance. Le contrôle échoue si le statut de conformité de l'association est`NON_COMPLIANT`.
Une association State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances ou que certains ports doivent être fermés.
Une fois que vous avez créé une ou plusieurs associations de responsables d'État, les informations sur le statut de conformité sont immédiatement disponibles. Vous pouvez consulter l'état de conformité dans la console ou en réponse à des AWS CLI commandes ou à des actions d'API Systems Manager correspondantes. Pour les associations, Configuration Compliance indique l'état de conformité (`Compliant`ou`Non-compliant`). Il indique également le niveau de gravité attribué à l'association, tel que `Critical` ou`Medium`.
Pour en savoir plus sur la conformité des associations State Manager, voir [À propos de la conformité des associations State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) dans le *Guide de AWS Systems Manager l'utilisateur*.
### Correction
L'échec d'une association peut être lié à différents facteurs, notamment aux cibles et aux noms de documents de Systems Manager. Pour résoudre ce problème, vous devez d'abord identifier et étudier l'association en consultant l'historique des associations. Pour obtenir des instructions sur l'affichage de l'historique des associations, reportez-vous à la section [Affichage de l'historique des associations](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) dans le *Guide de AWS Systems Manager l'utilisateur*.
Après avoir étudié, vous pouvez modifier l'association pour corriger le problème identifié. Vous pouvez modifier une association pour spécifier un nouveau nom, un niveau de gravité ou des cibles. Après avoir modifié une association, il AWS Systems Manager crée une nouvelle version. Pour obtenir des instructions sur la modification d'une association, voir [Modification et création d'une nouvelle version d'une association](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) dans le *Guide de AWS Systems Manager l'utilisateur*.
## [SSM.4] Les documents du SSM ne doivent pas être publics
**Exigences connexes :** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Catégorie :** Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
**Gravité :** Critique
**Type de ressource :** `AWS::SSM::Document`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si AWS Systems Manager les documents détenus par un compte sont publics. Le contrôle échoue si les documents de Systems Manager dont `Self` le propriétaire est le propriétaire sont publics.
Les documents publics de Systems Manager peuvent autoriser un accès involontaire à vos documents. Un document public de Systems Manager peut exposer des informations précieuses sur votre compte, vos ressources et vos processus internes.
À moins que votre cas d'utilisation ne nécessite un partage public, nous vous recommandons de bloquer le partage public pour les documents Systems Manager dont `Self` le propriétaire est le propriétaire.
### Correction
Pour plus d'informations sur la configuration du partage pour les documents de Systems Manager, voir [Partager un document SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) dans le *Guide de l'AWS Systems Manager utilisateur*.
## [SSM.5] Les documents SSM doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::SSM::Document`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « v4 » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Systems Manager document possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le document ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le document ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe. Le contrôle n'évalue pas les documents Systems Manager détenus par Amazon.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour ajouter des balises à un AWS Systems Manager document, vous pouvez utiliser le [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)fonctionnement de l' AWS Systems Manager API ou, si vous utilisez le AWS CLI, exécuter la [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)commande. Vous pouvez également utiliser la console AWS Systems Manager .
## [SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la CloudWatch journalisation Amazon est activée pour l'automatisation AWS Systems Manager (SSM). Le contrôle échoue si la CloudWatch journalisation n'est pas activée pour SSM Automation.
SSM Automation est un AWS Systems Manager outil qui vous aide à créer des solutions automatisées pour déployer, configurer et gérer les AWS ressources à grande échelle à l'aide de runbooks prédéfinis ou personnalisés. Pour répondre aux exigences opérationnelles ou de sécurité de votre organisation, vous devrez peut-être fournir un enregistrement des scripts qu'elle exécute. Vous pouvez configurer SSM Automation pour envoyer le résultat des `aws:executeScript` actions de vos runbooks vers un groupe de CloudWatch journaux Amazon Logs que vous spécifiez. Avec CloudWatch Logs, vous pouvez surveiller, stocker et accéder à des fichiers journaux provenant de différents types de fichiers Services AWS.
### Correction
Pour plus d'informations sur l'activation de la CloudWatch journalisation pour SSM Automation, voir le [résultat de l'action Logging Automation with CloudWatch Logs](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) dans le *guide de AWS Systems Manager l'utilisateur*.
## [SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si le paramètre de blocage du partage public est activé pour les AWS Systems Manager documents. Le contrôle échoue si le paramètre de partage public par blocs est désactivé pour les documents de Systems Manager.
Le paramètre de blocage du partage public pour les documents AWS Systems Manager (SSM) est un paramètre au niveau du compte. L'activation de ce paramètre peut empêcher tout accès indésirable à vos documents SSM. Si vous activez ce paramètre, votre modification n'affectera aucun document SSM que vous partagez actuellement avec le public. À moins que votre cas d'utilisation ne vous oblige à partager des documents SSM avec le public, nous vous recommandons d'activer le paramètre de blocage du partage public. Le réglage peut varier d'une personne à l'autre Région AWS.
### Correction
Pour plus d'informations sur l'activation du paramètre de blocage du partage public pour les documents AWS Systems Manager (SSM), voir [Bloquer le partage public des documents SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) dans le guide de l'*AWS Systems Manager utilisateur*.
# Contrôles Security Hub CSPM pour AWS Transfer Family
Ces AWS Security Hub CSPM contrôles évaluent le AWS Transfer Family service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Workflow`
**AWS Config règle :** `tagged-transfer-workflow` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS Transfer Family flux de travail comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le flux de travail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le flux de travail n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
**Pour ajouter des balises à un flux de travail Transfer Family (console)**
1. Ouvrez la AWS Transfer Family console.
1. Dans le panneau de navigation, sous ETL, sélectionnez **Workflows (Flux de travail)**. Sélectionnez ensuite le flux de travail que vous souhaitez baliser.
1. Choisissez **Gérer les balises**, puis ajoutez les balises.
## [Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux
**Exigences connexes :** NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5 NIST.800-53.r5 SC-8, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::Transfer::Server`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si un AWS Transfer Family serveur utilise un protocole autre que le protocole FTP pour la connexion des terminaux. Le contrôle échoue si le serveur utilise le protocole FTP pour qu'un client se connecte au point de terminaison du serveur.
Le protocole FTP (File Transfer Protocol) établit la connexion du terminal via des canaux non cryptés, ce qui rend les données envoyées via ces canaux vulnérables à l'interception. L'utilisation des protocoles SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure) ou AS2 (Déclaration d'applicabilité 2) offre un niveau de sécurité supplémentaire en chiffrant vos données en transit et peut être utilisée pour empêcher les attaquants potentiels de recourir à des attaques similaires pour person-in-the-middle espionner ou manipuler le trafic réseau.
### Correction
Pour modifier le protocole d'un serveur Transfer Family, voir [Modifier les protocoles de transfert de fichiers](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) dans le *guide de AWS Transfer Family l'utilisateur*.
## [Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::Transfer::Connector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la CloudWatch journalisation Amazon est activée pour un AWS Transfer Family connecteur. Le contrôle échoue si la CloudWatch journalisation n'est pas activée pour le connecteur.
Amazon CloudWatch est un service de surveillance et d'observabilité qui fournit une visibilité sur vos AWS ressources, y compris les AWS Transfer Family ressources. Pour Transfer Family, CloudWatch fournit un audit et une journalisation consolidés pour la progression et les résultats du flux de travail. Cela inclut plusieurs métriques définies par Transfer Family pour les flux de travail. Vous pouvez configurer Transfer Family pour qu'il enregistre automatiquement les événements du connecteur CloudWatch. Pour ce faire, vous devez spécifier un rôle de journalisation pour le connecteur. Pour le rôle de journalisation, vous créez un rôle IAM et une politique IAM basée sur les ressources qui définit les autorisations associées au rôle.
### Correction
Pour plus d'informations sur l'activation de la CloudWatch journalisation pour un connecteur Transfer Family, consultez [Amazon CloudWatch Logging for AWS Transfer Family servers](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) dans le *guide de AWS Transfer Family l'utilisateur*.
## [Transfer.4] Les accords Transfer Family doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Agreement`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Transfer Family accord possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si l'accord ne contient aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'accord ne contient aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS Transfer Family accord, consultez la section [Méthodes de balisage des ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) dans le Guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
## [Transfer.5] Les certificats Transfer Family doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Certificate`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Transfer Family certificat possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS Transfer Family certificat, consultez la section [Méthodes de balisage des ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) dans le Guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
## [Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Connector`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Transfer Family connecteur possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le connecteur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le connecteur ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS Transfer Family connecteur, consultez la section [Méthodes de balisage des ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) dans le Guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
## [Transfer.7] Les profils Transfer Family doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::Transfer::Profile`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Une liste de clés de balise de type « ▲ » qui doivent être attribuées à une ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Transfer Family profil possède les clés de balise spécifiées par le `requiredKeyTags` paramètre. Le contrôle échoue si le profil ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le `requiredKeyTags` paramètre. Si vous ne spécifiez aucune valeur pour le `requiredKeyTags` paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le profil ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le `aws:` préfixe. Le contrôle évalue les profils locaux et les profils des partenaires.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir [Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'utilisateur *IAM*. Pour plus d'informations sur les balises, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Note**
Ne stockez pas de données d’identification personnelle (PII) ni d’autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
### Correction
Pour plus d'informations sur l'ajout de balises à un AWS Transfer Family profil, consultez la section [Méthodes de balisage des ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) dans le Guide de l'*utilisateur AWS des ressources de balisage et de l'éditeur de balises*.
# Security Hub CSPM contrôle pour AWS WAF
Ces AWS Security Hub CSPM contrôles évaluent le AWS WAF service et les ressources. Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAF::WebACL`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour une ACL Web AWS WAF globale. Ce contrôle échoue si la journalisation n'est pas activée pour l'ACL Web.
La journalisation joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances à l' AWS WAF échelle mondiale. Il s'agit d'une exigence commerciale et de conformité dans de nombreuses organisations, qui vous permet de résoudre les problèmes liés au comportement des applications. Il fournit également des informations détaillées sur le trafic analysé par l'ACL Web qui y est attachée AWS WAF.
### Correction
Pour activer la journalisation pour une ACL AWS WAF Web, consultez la section [Enregistrement des informations de trafic d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) dans le *Guide du AWS WAF développeur*.
## [WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition
**Exigences connexes :** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFRegional::Rule`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une règle AWS WAF régionale comporte au moins une condition. Le contrôle échoue si aucune condition n'est présente dans une règle.
Une règle régionale WAF peut contenir plusieurs conditions. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune condition, le trafic passe sans inspection. Une règle régionale WAF sans conditions, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en cours.
### Correction
Pour ajouter une condition à une règle vide, consultez la section [Ajouter et supprimer des conditions dans une règle](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) dans le *Guide du AWS WAF développeur*.
## [WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle
**Exigences connexes :** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFRegional::RuleGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de règles AWS WAF régional possède au moins une règle. Le contrôle échoue si aucune règle n'est présente au sein d'un groupe de règles.
Un groupe de règles régional WAF peut contenir plusieurs règles. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune règle, le trafic passe sans inspection. Un groupe de règles régional WAF sans règles, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en train de se produire.
### Correction
Pour ajouter des règles et des conditions de règles à un groupe de règles vide, consultez les [sections Ajouter et supprimer des règles dans un groupe de règles AWS WAF classique](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) et [Ajouter et supprimer des conditions dans une règle](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) dans le *Guide du AWS WAF développeur*.
## [WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFRegional::WebACL`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une ACL AWS WAF Classic Regional Web contient des règles WAF ou des groupes de règles WAF. Ce contrôle échoue si une ACL Web ne contient aucune règle WAF ou aucun groupe de règles.
Une ACL Web régionale WAF peut contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si une ACL Web est vide, le trafic Web peut passer sans être détecté ou traité par WAF en fonction de l'action par défaut.
### Correction
Pour ajouter des règles ou des groupes de règles à une ACL Web régionale AWS WAF classique vide, consultez la section [Modification d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) dans le *guide du AWS WAF développeur*.
## [WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAF::Rule`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une règle AWS WAF globale contient des conditions. Le contrôle échoue si aucune condition n'est présente dans une règle.
Une règle globale WAF peut contenir plusieurs conditions. Les conditions d'une règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune condition, le trafic passe sans inspection. Une règle globale WAF sans conditions, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en train de se produire.
### Correction
Pour obtenir des instructions sur la création d'une règle et l'ajout de conditions, consultez [la section Création d'une règle et ajout de conditions](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) dans le *guide du AWS WAF développeur*.
## [WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAF::RuleGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de règles AWS WAF global possède au moins une règle. Le contrôle échoue si aucune règle n'est présente au sein d'un groupe de règles.
Un groupe de règles global WAF peut contenir plusieurs règles. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune règle, le trafic passe sans inspection. Un groupe de règles global WAF sans règles, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en train de se produire.
### Correction
Pour obtenir des instructions sur l'ajout d'une règle à un groupe de règles, consultez la section [Création d'un groupe de règles AWS WAF classique](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) dans le *guide du AWS WAF développeur*.
## [WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles
**Exigences connexes :** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAF::WebACL`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une ACL Web AWS WAF globale contient au moins une règle WAF ou un groupe de règles WAF. Le contrôle échoue si une ACL Web ne contient aucune règle WAF ou aucun groupe de règles.
Une ACL Web globale WAF peut contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si une ACL Web est vide, le trafic Web peut passer sans être détecté ou traité par WAF en fonction de l'action par défaut.
### Correction
Pour ajouter des règles ou des groupes de règles à une ACL Web AWS WAF globale vide, consultez la section [Modification d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) dans le *Guide du AWS WAF développeur*. Pour **Filtrer**, choisissez **Global (CloudFront)**.
## [WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFv2::WebACL`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une liste de contrôle d'accès Web (ACL Web) AWS WAF V2 contient au moins une règle ou un groupe de règles. Le contrôle échoue si une ACL Web ne contient aucune règle ou groupe de règles.
Une ACL Web vous permet de contrôler avec précision toutes les requêtes Web HTTP (S) auxquelles répond votre ressource protégée. Une ACL Web doit contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si une ACL Web est vide, le trafic Web peut être transmis sans être détecté ou traité AWS WAF en fonction de l'action par défaut.
### Correction
Pour ajouter des règles ou des groupes de règles à une ACL WAFV2 Web vide, consultez la section [Modification d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) dans le *manuel du AWS WAF développeur*.
## [WAF.11] La journalisation des ACL AWS WAF Web doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
**Catégorie :** Identifier - Journalisation
**Gravité : ** Faible
**Type de ressource :** `AWS::WAFv2::WebACL`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour une liste de contrôle d'accès Web (ACL Web) AWS WAF V2. Ce contrôle échoue si la journalisation est désactivée pour l'ACL Web.
**Note**
Ce contrôle ne vérifie pas si la journalisation ACL AWS WAF Web est activée pour un compte via Amazon Security Lake.
La journalisation garantit la fiabilité, la disponibilité et les performances de AWS WAF. En outre, la journalisation est une exigence commerciale et de conformité dans de nombreuses organisations. En enregistrant le trafic analysé par votre ACL Web, vous pouvez résoudre les problèmes de comportement des applications.
### Correction
Pour activer la journalisation pour une ACL AWS WAF Web, consultez [la section Gestion de la journalisation pour une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) dans le *Guide du AWS WAF développeur*.
## Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::WAFv2::RuleGroup`
**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si les CloudWatch métriques Amazon sont activées pour une AWS WAF règle ou un groupe de règles. Le contrôle échoue si les CloudWatch métriques ne sont pas activées pour la règle ou le groupe de règles.
La configuration de CloudWatch métriques sur AWS WAF les règles et les groupes de règles fournit une visibilité sur le flux de trafic. Vous pouvez voir quelles règles ACL sont déclenchées et quelles demandes sont acceptées et bloquées. Cette visibilité peut vous aider à identifier les activités malveillantes sur vos ressources associées.
### Correction
Pour activer CloudWatch les métriques sur un groupe de AWS WAF règles, appelez l'[ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. Pour activer CloudWatch les métriques sur une AWS WAF règle, appelez l'API [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html). Réglez le `CloudWatchMetricsEnabled` champ sur`true`. Lorsque vous utilisez la AWS WAF console pour créer des règles ou des groupes de règles, CloudWatch les métriques sont automatiquement activées.
# Contrôles Security Hub CSPM pour WorkSpaces
Ces AWS Security Hub CSPM contrôles évaluent le WorkSpaces service et les ressources Amazon.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::WorkSpaces::Workspace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un volume utilisateur d'un Amazon WorkSpaces WorkSpace est chiffré au repos. Le contrôle échoue si le volume WorkSpace utilisateur n'est pas chiffré au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour chiffrer un volume WorkSpaces utilisateur, consultez la section [Encrypt a WorkSpace dans le guide d' WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace)*administration Amazon*.
## [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::WorkSpaces::Workspace`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un volume racine d'un Amazon WorkSpaces WorkSpace est chiffré au repos. Le contrôle échoue si le volume WorkSpace racine n'est pas chiffré au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour chiffrer un volume WorkSpaces racine, consultez la section [Encrypt a WorkSpace dans le guide d' WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace)*administration Amazon*.
# Autorisations requises pour configurer les contrôles dans Security Hub CSPM
Pour afficher des informations sur les contrôles de sécurité et activer et désactiver les contrôles de sécurité dans les normes, le rôle Gestion des identités et des accès AWS (IAM) que vous utilisez pour accéder au AWS Security Hub CSPM doit être autorisé à effectuer les opérations suivantes de l'API Security Hub CSPM.
Pour obtenir les autorisations nécessaires, vous pouvez utiliser les politiques [gérées par Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html). Vous pouvez également mettre à jour les politiques IAM personnalisées afin d'inclure des autorisations pour ces actions.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)**— Renvoie des informations sur un lot de contrôles de sécurité pour le compte courant et Région AWS.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)**— Renvoie des informations sur les contrôles de sécurité qui s'appliquent à une norme spécifiée.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)**— Indique si un contrôle de sécurité est actuellement activé ou désactivé dans chaque norme activée dans le compte.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)**— Pour un lot de contrôles de sécurité, indique si chaque contrôle est actuellement activé ou désactivé dans une norme spécifiée.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Utilisé pour activer un contrôle de sécurité dans les normes qui incluent le contrôle, ou pour désactiver un contrôle dans les normes. Il s'agit d'un remplacement par lots de l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)opération existante.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Utilisé pour activer ou désactiver un lot de contrôles de sécurité dans les normes qui incluent ces contrôles. Il s'agit d'un remplacement par lots de l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)opération existante.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)**— Utilisé pour activer ou désactiver un seul contrôle de sécurité dans les normes qui incluent le contrôle
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html)**— Renvoie des informations sur les contrôles de sécurité spécifiés.
Outre ce qui précède APIs, vous devez ajouter l'autorisation d'appeler `BatchGetControlEvaluations` à votre rôle IAM. Cette autorisation est nécessaire pour consulter l'état d'activation et de conformité d'un contrôle, les résultats pris en compte pour un contrôle et le score de sécurité global des contrôles sur la console Security Hub CSPM. Étant donné que seule la console appelle`BatchGetControlEvaluations`, cette autorisation ne correspond pas directement au CSPM APIs ou AWS CLI aux commandes du Security Hub documentés publiquement.
# Activation des contrôles dans Security Hub CSPM
Dans AWS Security Hub CSPM, un contrôle est une mesure de protection dans le cadre d'une norme de sécurité qui aide une entreprise à protéger la confidentialité, l'intégrité et la disponibilité de ses informations. Chaque contrôle CSPM du Security Hub est lié à une ressource spécifique AWS . Lorsque vous activez un contrôle, Security Hub CSPM commence à exécuter des contrôles de sécurité pour le contrôle et génère des résultats pour celui-ci. Security Hub CSPM prend également en compte tous les contrôles activés lors du calcul des scores de sécurité.
Vous pouvez choisir d'activer le contrôle de toutes les normes de sécurité auxquelles il s'applique. Vous pouvez également configurer le statut d'activation différemment selon les normes. Nous recommandons la première option, dans laquelle le statut d'activation d'un contrôle est aligné sur toutes vos normes activées. Pour obtenir des instructions sur l'activation d'un contrôle dans toutes les normes auxquelles il s'applique, voir[Permettre un contrôle sur l'ensemble des normes](enable-controls-overview.md). Pour obtenir des instructions sur l'activation d'un contrôle dans des normes spécifiques, voir[Activation d'un contrôle dans une norme spécifique](controls-configure.md).
Si vous activez l'agrégation entre régions et que vous vous connectez à une région d'agrégation, la console Security Hub CSPM affiche les contrôles disponibles dans au moins une région liée. Si un contrôle est disponible dans une région liée mais pas dans la région d'agrégation, vous ne pouvez pas activer ou désactiver ce contrôle depuis la région d'agrégation.
Vous pouvez activer et désactiver les contrôles dans chaque région à l'aide de la console Security Hub CSPM, de l'API Security Hub CSPM ou. AWS CLI
Les instructions d'activation et de désactivation des commandes varient selon que vous utilisez ou non la [configuration centralisée](central-configuration-intro.md). Cette rubrique décrit les différences. La configuration centralisée est disponible pour les utilisateurs qui intègrent Security Hub CSPM et. AWS Organizations Nous recommandons d'utiliser une configuration centralisée pour simplifier le processus d'activation et de désactivation des contrôles dans les environnements multicomptes et multirégionaux. Si vous utilisez la configuration centralisée, vous pouvez activer le contrôle sur plusieurs comptes et régions à l'aide de politiques de configuration. Si vous n'utilisez pas la configuration centralisée, vous devez activer un contrôle séparément dans chaque région et chaque compte.
# Permettre un contrôle sur l'ensemble des normes
Nous recommandons d'activer un contrôle AWS Security Hub CSPM pour toutes les normes auxquelles le contrôle s'applique. Si vous activez les résultats de contrôle consolidés, vous recevez un résultat par contrôle, même si un contrôle appartient à plusieurs normes.
## Activation multistandard dans des environnements multicomptes et multirégionaux
Pour activer un contrôle de sécurité sur plusieurs Comptes AWS et Régions AWS, vous devez être connecté au compte administrateur délégué du Security Hub CSPM et utiliser la configuration [centralisée](central-configuration-intro.md).
Dans le cadre de la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration Security Hub CSPM qui permettent des contrôles spécifiques selon les normes activées. Vous pouvez ensuite associer la politique de configuration à des comptes et unités organisationnelles spécifiques (OUs) ou à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.
Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir d'activer tous les contrôles dans une unité d'organisation, et vous pouvez choisir d'activer uniquement les contrôles Amazon Elastic Compute Cloud (EC2) dans une autre unité d'organisation. Le niveau de granularité dépend des objectifs que vous vous êtes fixés en matière de couverture de sécurité au sein de votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui active des contrôles spécifiques entre les normes, consultez[Création et association de politiques de configuration](create-associate-policy.md).
**Note**
L'administrateur délégué peut créer des politiques de configuration pour gérer les contrôles dans toutes les normes, à l'exception de la [norme de gestion des services](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) :. AWS Control Tower Les contrôles de cette norme doivent être configurés dans le AWS Control Tower service.
Si vous souhaitez que certains comptes configurent leurs propres contrôles plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les contrôles séparément dans chaque région.
## Activation multistandard dans un seul compte et dans une région
Si vous n'utilisez pas de configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour activer les contrôles de manière centralisée dans plusieurs comptes et régions. Cependant, vous pouvez suivre les étapes suivantes pour activer un contrôle dans un seul compte et une seule région.
------
#### [ Security Hub CSPM console ]
**Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Choisissez **Controls** dans le volet de navigation.
1. Choisissez l'onglet **Désactivé**.
1. Choisissez l'option située à côté d'un contrôle.
1. Choisissez **Activer le contrôle** (cette option n'apparaît pas pour un contrôle déjà activé).
1. Répétez l'opération dans chaque région dans laquelle vous souhaitez activer le contrôle.
------
#### [ Security Hub CSPM API ]
**Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région**
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fournissez un identifiant de contrôle de sécurité.
**Exemple de demande :**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Indiquez le nom de ressource Amazon (ARN) de toutes les normes dans lesquelles le contrôle n'est pas activé. Pour obtenir le standard ARNs, exécutez [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).
1. Définissez le `AssociationStatus` paramètre comme étant égal à`ENABLED`. Si vous suivez ces étapes pour un contrôle déjà activé, l'API renvoie une réponse au code d'état HTTP 200.
**Exemple de demande :**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}
```
1. Répétez l'opération dans chaque région dans laquelle vous souhaitez activer le contrôle.
------
#### [ AWS CLI ]
**Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région**
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fournissez un identifiant de contrôle de sécurité.
```
aws securityhub --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
```
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Indiquez le nom de ressource Amazon (ARN) de toutes les normes dans lesquelles le contrôle n'est pas activé. Pour obtenir le standard ARNs, exécutez la `describe-standards` commande.
1. Définissez le `AssociationStatus` paramètre comme étant égal à`ENABLED`. Si vous suivez ces étapes pour un contrôle déjà activé, la commande renvoie une réponse de code d'état HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
```
1. Répétez l'opération dans chaque région dans laquelle vous souhaitez activer le contrôle.
------
# Activation d'un contrôle dans une norme spécifique
Lorsque vous activez une norme dans AWS Security Hub CSPM, tous les contrôles qui s'y appliquent sont automatiquement activés dans cette norme (à l'exception des normes gérées par les services). Vous pouvez ensuite désactiver et réactiver des contrôles spécifiques dans le standard. Cependant, nous vous recommandons d'aligner le statut d'activation d'un contrôle sur l'ensemble de vos normes activées. Pour obtenir des instructions sur l'activation d'un contrôle pour toutes les normes, voir[Permettre un contrôle sur l'ensemble des normes](enable-controls-overview.md).
La page de détails d'une norme contient la liste des contrôles applicables à la norme, ainsi que des informations sur les contrôles actuellement activés et désactivés dans cette norme.
Sur la page de détails des normes, vous pouvez également activer les contrôles dans des normes spécifiques. Vous devez activer les contrôles dans des normes spécifiques séparément dans chaque Compte AWS et Région AWS. Lorsque vous activez un contrôle dans le cadre de normes spécifiques, cela n'a d'impact que sur le compte courant et la région.
Pour activer un contrôle dans une norme, vous devez d'abord activer au moins une norme à laquelle le contrôle s'applique. Pour obtenir des instructions sur l'activation d'une norme, consultez[Mise en place d'une norme de sécurité](enable-standards.md). Lorsque vous activez un contrôle dans une ou plusieurs normes, Security Hub CSPM commence à générer des résultats pour ce contrôle. Security Hub CSPM inclut l'[état du contrôle](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) dans le calcul du score de sécurité global et des scores de sécurité standard. Même si vous activez un contrôle selon plusieurs normes, vous recevrez un seul résultat par contrôle de sécurité pour toutes les normes si vous activez les résultats de contrôle consolidés. Pour plus d'informations, consultez la section [Résultats de contrôle consolidés](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) (français non garanti).
Pour activer un contrôle dans un standard, le contrôle doit être disponible dans votre région actuelle. Pour plus d'informations, voir [Disponibilité des contrôles par région](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).
Suivez ces étapes pour activer un contrôle Security Hub CSPM dans une norme *spécifique*. Au lieu des étapes suivantes, vous pouvez également utiliser l'action [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)API pour activer les contrôles dans une norme spécifique. Pour obtenir des instructions sur l'activation d'un contrôle dans *toutes les* normes, voir[Activation multistandard dans un seul compte et dans une région](enable-controls-overview.md#enable-controls-all-standards).
------
#### [ Security Hub CSPM console ]
**Pour activer un contrôle dans une norme spécifique**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Choisissez **Normes de sécurité** dans le volet de navigation.
1. Choisissez **Afficher les résultats** pour la norme correspondante.
1. Sélectionnez un contrôle.
1. Choisissez **Activer le contrôle** (cette option n'apparaît pas pour un contrôle déjà activé). Confirmez en choisissant **Activer**.
------
#### [ Security Hub CSPM API ]
**Pour activer un contrôle dans une norme spécifique**
1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`Exécutez et fournissez un ARN standard pour obtenir la liste des contrôles disponibles pour une norme spécifique. Pour obtenir un ARN standard, exécutez [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Cette API renvoie un contrôle de sécurité indépendant de la norme IDs, et non un contrôle spécifique à une norme. IDs
**Exemple de demande :**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. Exécutez `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.
**Exemple de demande :**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Exécutez `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Indiquez l'ARN de la norme dans laquelle vous souhaitez activer le contrôle.
1. Définissez le `AssociationStatus` paramètre comme étant égal à`ENABLED`.
**Exemple de demande :**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
```
------
#### [ AWS CLI ]
**Pour activer un contrôle dans une norme spécifique**
1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` commande et fournissez un ARN standard pour obtenir la liste des contrôles disponibles pour une norme spécifique. Pour obtenir un ARN standard, exécutez`describe-standards`. Cette commande renvoie un contrôle de sécurité indépendant de la norme IDs, et non un contrôle spécifique à une norme. IDs
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` commande et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. Exécutez la commande `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Indiquez l'ARN de la norme dans laquelle vous souhaitez activer le contrôle.
1. Définissez le `AssociationStatus` paramètre comme étant égal à`ENABLED`.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
```
------
# Activation automatique de nouveaux contrôles dans les normes activées
AWS Security Hub CSPM publie régulièrement de nouveaux contrôles et les ajoute à une ou plusieurs normes. Vous pouvez choisir d'activer automatiquement les nouvelles commandes dans vos normes activées.
Nous vous recommandons d'utiliser la configuration centrale du Security Hub CSPM pour activer automatiquement les nouveaux contrôles de sécurité. Vous pouvez créer des politiques de configuration qui incluent une liste de contrôles à désactiver selon les normes. Toutes les autres commandes, y compris celles récemment publiées, sont activées par défaut. Vous pouvez également créer des politiques qui incluent une liste de contrôles à activer selon les normes. Toutes les autres commandes, y compris celles récemment publiées, sont désactivées par défaut. Pour de plus amples informations, veuillez consulter [Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
Security Hub CSPM n'active pas de nouveaux contrôles lorsqu'ils sont ajoutés à une norme que vous n'avez pas activée.
Les instructions suivantes s'appliquent uniquement si vous n'utilisez pas la configuration centralisée.
Choisissez votre méthode d'accès préférée et suivez les étapes pour activer automatiquement les nouveaux contrôles dans les normes activées.
**Note**
Lorsque vous activez automatiquement de nouvelles commandes à l'aide des instructions suivantes, vous pouvez interagir avec les commandes dans la console et par programmation immédiatement après leur publication. Toutefois, le statut par défaut temporaire des contrôles activés automatiquement **est Désactivé**. Plusieurs jours peuvent être nécessaires pour que Security Hub CSPM traite la version de contrôle et désigne le contrôle comme étant **activé** dans votre compte. Pendant la période de traitement, vous pouvez activer ou désactiver manuellement un contrôle, et Security Hub CSPM conservera cette désignation, que l'activation automatique du contrôle soit activée ou non.
------
#### [ Security Hub CSPM console ]
**Pour activer automatiquement les nouvelles commandes**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Paramètres**, puis cliquez sur l'onglet **Général**.
1. Sous **Contrôles**, choisissez **Modifier**.
1. Activez l'**activation automatique des nouvelles commandes dans les normes activées**.
1. Choisissez **Enregistrer**.
------
#### [ Security Hub CSPM API ]
**Pour activer automatiquement les nouvelles commandes**
1. Exécutez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).
1. Pour activer automatiquement de nouvelles commandes pour les normes activées, définissez `AutoEnableControls` sur`true`. Si vous ne souhaitez pas activer automatiquement les nouvelles commandes, définissez le paramètre `AutoEnableControls` sur false.
------
#### [ AWS CLI ]
**Pour activer automatiquement les nouvelles commandes**
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).
1. Pour activer automatiquement de nouvelles commandes pour les normes activées, spécifiez`--auto-enable-controls`. Si vous ne souhaitez pas activer automatiquement les nouvelles commandes, spécifiez`--no-auto-enable-controls`.
```
aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
```
**Exemple de commande**
```
aws securityhub update-security-hub-configuration --auto-enable-controls
```
------
Si vous n'activez pas automatiquement les nouvelles commandes, vous devez les activer manuellement. Pour obtenir des instructions, veuillez consulter [Activation des contrôles dans Security Hub CSPM](securityhub-standards-enable-disable-controls.md).
# Désactivation des contrôles dans Security Hub CSPM
Pour réduire le bruit de détection, il peut être utile de désactiver les commandes qui ne sont pas adaptées à votre environnement. Dans AWS Security Hub CSPM, vous pouvez désactiver un contrôle pour toutes les normes de sécurité ou uniquement pour des normes spécifiques.
Si vous désactivez un contrôle pour toutes les normes, voici ce qui se produit :
+ Les contrôles de sécurité ne sont plus effectués pour le contrôle.
+ Aucun résultat supplémentaire n'est généré pour le contrôle.
+ Les résultats existants ne sont plus mis à jour pour le contrôle.
+ Les résultats existants pour le contrôle sont archivés automatiquement, généralement dans un délai de 3 à 5 jours, dans la mesure du possible.
+ Security Hub CSPM supprime toutes les AWS Config règles associées créées pour le contrôle.
Si vous désactivez un contrôle uniquement pour des normes spécifiques, Security Hub CSPM arrête d'exécuter les contrôles de sécurité pour le contrôle uniquement pour ces normes. Cela supprime également le contrôle des [calculs du score de sécurité](standards-security-score.md) pour chacune de ces normes. Si le contrôle est activé dans d'autres normes, Security Hub CSPM conserve la AWS Config règle associée, le cas échéant, et continue à exécuter des contrôles de sécurité pour le contrôle relatif aux autres normes. Security Hub CSPM inclut également le contrôle lorsqu'il calcule le score de sécurité pour chacune des autres normes, ce qui affecte votre score de sécurité récapitulatif.
Si vous désactivez une norme, toutes les commandes qui s'appliquent à la norme sont automatiquement désactivées pour cette norme. Cependant, les contrôles peuvent continuer à être activés dans d'autres normes. Lorsque vous désactivez une norme, Security Hub CSPM n'enregistre pas les contrôles qui ont été désactivés pour cette norme. Par conséquent, si vous réactivez ultérieurement la même norme, toutes les commandes qui s'y appliquent sont automatiquement activées. Pour plus d'informations sur la désactivation d'une norme, consultez[Désactiver une norme](disable-standards.md).
La désactivation d'un contrôle n'est pas une action permanente. Supposons que vous désactiviez un contrôle, puis que vous activiez une norme qui inclut le contrôle. Le contrôle est ensuite activé pour cette norme. Lorsque vous activez une norme dans Security Hub CSPM, toutes les commandes qui s'appliquent à la norme sont automatiquement activées. Pour plus d'informations sur l'activation d'une norme, consultez[Activation d'une norme](enable-standards.md).
**Topics**
+ [Désactiver un contrôle entre les normes](disable-controls-across-standards.md)
+ [Désactivation d'un contrôle dans une norme spécifique](disable-controls-standard.md)
+ [Contrôles suggérés à désactiver](controls-to-disable.md)
# Désactiver un contrôle entre les normes
Nous vous recommandons de désactiver un contrôle AWS Security Hub CSPM entre les normes afin de maintenir l'alignement au sein de votre organisation. Si vous désactivez un contrôle uniquement dans des normes spécifiques, vous continuez à recevoir les résultats du contrôle s'il est activé dans d'autres normes.
## Désactivation multistandard dans plusieurs comptes et régions
Pour désactiver un contrôle de sécurité sur plusieurs Comptes AWS et Régions AWS, vous devez utiliser [la configuration centralisée](central-configuration-intro.md).
Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration Security Hub CSPM qui désactivent les contrôles spécifiés dans les normes activées. Vous pouvez ensuite associer la politique de configuration à des comptes spécifiques OUs, ou à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.
Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir de désactiver tous les AWS CloudTrail contrôles dans une unité d'organisation, et vous pouvez choisir de désactiver tous les contrôles IAM dans une autre unité d'organisation. Le niveau de granularité dépend des objectifs que vous vous êtes fixés en matière de couverture de sécurité au sein de votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui désactive les contrôles spécifiques selon les normes, consultez[Création et association de politiques de configuration](create-associate-policy.md).
**Note**
L'administrateur délégué peut créer des politiques de configuration pour gérer les contrôles dans toutes les normes, à l'exception de la [norme de gestion des services](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) :. AWS Control Tower Les contrôles de cette norme doivent être configurés dans le AWS Control Tower service.
Si vous souhaitez que certains comptes configurent leurs propres contrôles plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les contrôles séparément dans chaque région.
## Désactivation multistandard dans un seul compte et une seule région
Si vous n'utilisez pas la configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour désactiver les contrôles de manière centralisée dans plusieurs comptes et régions. Cependant, vous pouvez désactiver un contrôle dans un seul compte et dans une seule région.
------
#### [ Security Hub CSPM console ]
**Pour désactiver le contrôle des normes dans un compte et une région**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Choisissez **Controls** dans le volet de navigation.
1. Choisissez l'option située à côté d'un contrôle.
1. Choisissez **Désactiver le contrôle**. Cette option n'apparaît pas pour un contrôle déjà désactivé.
1. Sélectionnez le motif de désactivation du contrôle, puis confirmez en choisissant **Désactiver**.
1. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver le contrôle.
------
#### [ Security Hub CSPM API ]
**Pour désactiver le contrôle des normes dans un compte et une région**
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fournissez un identifiant de contrôle de sécurité.
**Exemple de demande :**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Indiquez l'ARN de toutes les normes dans lesquelles le contrôle est activé. Pour obtenir le standard ARNs, exécutez [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).
1. Définissez le `AssociationStatus` paramètre égal à`DISABLED`. Si vous suivez ces étapes pour un contrôle déjà désactivé, l'API renvoie une réponse au code d'état HTTP 200.
**Exemple de demande :**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}
```
1. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver le contrôle.
------
#### [ AWS CLI ]
**Pour désactiver le contrôle des normes dans un compte et une région**
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fournissez un identifiant de contrôle de sécurité.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Indiquez l'ARN de toutes les normes dans lesquelles le contrôle est activé. Pour obtenir le standard ARNs, exécutez la `describe-standards` commande.
1. Définissez le `AssociationStatus` paramètre égal à`DISABLED`. Si vous suivez ces étapes pour un contrôle déjà désactivé, la commande renvoie une réponse au code d'état HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
```
1. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver le contrôle.
------
# Désactivation d'un contrôle dans une norme spécifique
Vous pouvez désactiver un contrôle uniquement pour des normes de sécurité spécifiques, plutôt que pour toutes les normes. Si le contrôle s'applique à d'autres normes activées, AWS Security Hub CSPM continue à effectuer des contrôles de sécurité pour le contrôle et vous continuez à recevoir les résultats du contrôle.
Nous recommandons d'aligner le statut d'activation d'un contrôle sur toutes les normes activées auxquelles le contrôle s'applique. Pour plus d'informations sur la désactivation d'un contrôle dans toutes les normes auxquelles il s'applique, consultez[Désactiver un contrôle entre les normes](disable-controls-across-standards.md).
Sur la page de détails des normes, vous pouvez également désactiver les contrôles dans des normes spécifiques. Vous devez désactiver les contrôles dans des normes spécifiques séparément dans chaque Compte AWS et Région AWS. Lorsque vous désactivez un contrôle dans le cadre de normes spécifiques, cela n'affecte que le compte courant et la région.
Choisissez votre méthode préférée et suivez ces étapes pour désactiver un contrôle dans une ou plusieurs normes spécifiques.
------
#### [ Security Hub CSPM console ]
**Pour désactiver un contrôle dans une norme spécifique**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Choisissez **Normes de sécurité** dans le volet de navigation. Choisissez **Afficher les résultats** pour la norme correspondante.
1. Sélectionnez un contrôle.
1. Choisissez **Désactiver le contrôle**. Cette option n'apparaît pas pour un contrôle déjà désactivé.
1. Indiquez le motif de la désactivation du contrôle, puis confirmez en choisissant **Désactiver**.
------
#### [ Security Hub CSPM API ]
**Pour désactiver un contrôle dans une norme spécifique**
1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`Exécutez et fournissez un ARN standard pour obtenir la liste des contrôles disponibles pour une norme spécifique. Pour obtenir un ARN standard, exécutez [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Cette API renvoie un contrôle de sécurité indépendant de la norme IDs, et non un contrôle spécifique à une norme. IDs
**Exemple de demande :**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. Exécutez `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.
**Exemple de demande :**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Exécutez `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Indiquez l'ARN de la norme dans laquelle vous souhaitez désactiver le contrôle.
1. Définissez le `AssociationStatus` paramètre comme étant égal à`DISABLED`. Si vous suivez ces étapes pour un contrôle déjà désactivé, l'API renvoie une réponse au code d'état HTTP 200.
**Exemple de demande :**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]
}
```
------
#### [ AWS CLI ]
**Pour désactiver un contrôle dans une norme spécifique**
1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` commande et fournissez un ARN standard pour obtenir la liste des contrôles disponibles pour une norme spécifique. Pour obtenir un ARN standard, exécutez`describe-standards`. Cette commande renvoie un contrôle de sécurité indépendant de la norme IDs, et non un contrôle spécifique à une norme. IDs
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` commande et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. Exécutez la commande `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Indiquez l'ARN de la norme dans laquelle vous souhaitez désactiver le contrôle.
1. Définissez le `AssociationStatus` paramètre comme étant égal à`DISABLED`. Si vous suivez ces étapes pour un contrôle déjà activé, la commande renvoie une réponse de code d'état HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
```
------
# Contrôles suggérés à désactiver dans Security Hub CSPM
Nous vous recommandons de désactiver certains contrôles CSPM du AWS Security Hub afin de réduire le bruit lié à la recherche et les coûts d'utilisation.
## Contrôles utilisant des ressources globales
Certains Services AWS prennent en charge les ressources globales, ce qui signifie que vous pouvez accéder à la ressource depuis n'importe quel endroit Région AWS. Pour économiser sur le coût AWS Config, vous pouvez désactiver l'enregistrement des ressources mondiales dans toutes les régions sauf une. Une fois cette opération effectuée, Security Hub CSPM continue d'effectuer des contrôles de sécurité dans toutes les régions où un contrôle est activé et vous facture en fonction du nombre de contrôles par compte et par région. Par conséquent, pour réduire le bruit lié à la recherche et économiser sur le coût du Security Hub CSPM, vous devez également désactiver les contrôles impliquant des ressources mondiales dans toutes les régions, à l'exception de la région qui enregistre les ressources mondiales.
Si un contrôle implique des ressources globales mais n'est disponible que dans une seule région, sa désactivation dans cette région vous empêche d'obtenir des résultats pour la ressource sous-jacente. Dans ce cas, nous vous recommandons de garder le contrôle activé. Lorsque vous utilisez l'agrégation entre régions, la région dans laquelle le contrôle est disponible doit être la région d'agrégation ou l'une des régions liées. Les contrôles suivants concernent des ressources mondiales mais ne sont disponibles que dans une seule région :
+ **Toutes les CloudFront commandes** — Disponible uniquement dans la région de l'est des États-Unis (Virginie du Nord)
+ **GlobalAccelerator.1** — Disponible uniquement dans la région de l'ouest des États-Unis (Oregon)
+ **Route 53.2** — Disponible uniquement dans la région de l'Est des États-Unis (Virginie du Nord)
+ **WAF.1, WAF.6, WAF.7, WAF.8** — Disponible uniquement dans la région USA Est (Virginie du Nord)
**Note**
Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.
Pour plus d'informations sur la configuration centrale, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
Pour les contrôles dotés d'un type de calendrier *périodique*, il est nécessaire de les désactiver dans Security Hub CSPM pour empêcher la facturation. La définition du AWS Config paramètre `includeGlobalResourceTypes` sur `false` n'a aucune incidence sur les contrôles périodiques du Security Hub CSPM.
Les contrôles CSPM du Security Hub suivants utilisent des ressources globales :
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## CloudTrail contrôles de journalisation
Le contrôle [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) évalue l'utilisation de AWS Key Management Service (AWS KMS) pour chiffrer les journaux de suivi AWS CloudTrail . Si vous enregistrez ces traces dans un compte de journalisation centralisé, vous devez activer ce contrôle uniquement dans le compte et dans l'endroit Région AWS où la journalisation centralisée a lieu.
Si vous utilisez la [configuration centralisée](central-configuration-intro.md), le statut d'activation d'un contrôle est aligné sur la région d'origine et sur les régions associées. Vous ne pouvez pas désactiver un contrôle dans certaines régions et l'activer dans d'autres. Dans ce cas, vous pouvez supprimer les résultats de la commande CloudTrail .2 afin de réduire le bruit de recherche.
## CloudWatch commandes d'alarme
Si vous préférez utiliser Amazon GuardDuty pour la détection des anomalies plutôt que les CloudWatch alarmes Amazon, vous pouvez désactiver les commandes suivantes, qui se concentrent sur les CloudWatch alarmes :
+ [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14)
# Comprendre les contrôles de sécurité et les scores dans Security Hub CSPM
Pour chaque contrôle que vous activez, AWS Security Hub CSPM exécute des contrôles de sécurité. Un contrôle de sécurité produit un résultat qui vous indique si une AWS ressource spécifique est conforme aux règles incluses dans le contrôle.
Certains contrôles sont effectués selon un calendrier périodique. Les autres contrôles ne sont exécutés qu'en cas de modification de l'état de la ressource. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
De nombreux contrôles de sécurité utilisent des règles AWS Config gérées ou personnalisées pour établir les exigences de conformité. Pour exécuter ces vérifications, vous devez configurer AWS Config et activer l'enregistrement des ressources pour les ressources requises. Pour plus d'informations sur la configuration AWS Config, consultez[Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md). Pour obtenir la liste des AWS Config ressources que vous devez enregistrer pour chaque norme, consultez[AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md). Les autres contrôles utilisent des fonctions Lambda personnalisées, qui sont gérées par Security Hub CSPM et ne nécessitent aucun prérequis.
Lorsque Security Hub CSPM exécute des contrôles de sécurité, il génère des résultats et leur attribue un statut de conformité. Pour plus d'informations sur le statut de conformité, consultez[Évaluation de l'état de conformité des résultats du Security Hub CSPM](controls-overall-status.md#controls-overall-status-compliance-status).
Security Hub CSPM utilise l'état de conformité des résultats des contrôles pour déterminer un état de contrôle global. Sur la base de l'état du contrôle, Security Hub CSPM calcule également un score de sécurité pour tous les contrôles activés et pour des normes spécifiques. Pour plus d’informations, consultez [Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md) et [Calcul des scores de sécurité](standards-security-score.md).
Si vous avez activé les résultats de contrôle consolidés, Security Hub CSPM génère un résultat unique même lorsqu'un contrôle est associé à plusieurs normes. Pour de plus amples informations, veuillez consulter [Conclusions de contrôle consolidées](controls-findings-create-update.md#consolidated-control-findings).
**Topics**
+ [AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md)
+ [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md)
+ [Génération et mise à jour des résultats de contrôle](controls-findings-create-update.md)
+ [Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md)
+ [Calcul des scores de sécurité](standards-security-score.md)
# AWS Config Ressources requises pour les résultats des contrôles
Dans AWS Security Hub CSPM, certains contrôles utilisent des AWS Config règles liées aux services qui détectent les modifications de configuration de vos ressources. AWS Pour que Security Hub CSPM puisse générer des résultats précis pour ces contrôles, vous devez activer AWS Config et activer l'enregistrement des ressources dans. AWS Config Pour plus d'informations sur la manière dont Security Hub CSPM utilise AWS Config les règles et sur la manière de les activer et de les configurer AWS Config, consultez. [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md) Pour obtenir des informations détaillées sur l'enregistrement des ressources, consultez la section [Utilisation de l'enregistreur de configuration](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) dans le *manuel du AWS Config développeur*.
Pour recevoir des résultats de contrôle précis, vous devez activer l'enregistrement des AWS Config ressources pour les contrôles activés avec un type de planification *déclenché par des modifications*. Certains contrôles dotés d'un type de calendrier *périodique* nécessitent également un enregistrement des ressources. Cette page répertorie les ressources requises pour ces contrôles Security Hub CSPM.
Les contrôles CSPM du Security Hub peuvent s'appuyer sur des AWS Config règles gérées ou sur des règles CSPM personnalisées du Security Hub. Assurez-vous qu'aucune politique Gestion des identités et des accès AWS (IAM) ou politique AWS Organizations gérée n' AWS Config empêche d'avoir l'autorisation d'enregistrer vos ressources. Les contrôles CSPM du Security Hub évaluent directement les configurations des ressources et ne tiennent pas compte AWS Organizations des politiques.
**Note**
Régions AWS Lorsqu'un contrôle n'est pas disponible, la ressource correspondante n'est pas disponible dans AWS Config. Pour obtenir la liste de ces limites, voir[Limites régionales relatives aux contrôles CSPM du Security Hub](regions-controls.md).
**Topics**
+ [Ressources requises pour tous les contrôles Security Hub CSPM](#all-controls-config-resources)
+ [Ressources requises pour la norme des meilleures pratiques de sécurité AWS fondamentales](#securityhub-standards-fsbp-config-resources)
+ [Ressources nécessaires pour le test de référence AWS des fondations du CIS](#securityhub-standards-cis-config-resources)
+ [Ressources requises pour la norme NIST SP 800-53 Revision 5](#nist-config-resources)
+ [Ressources requises pour la norme NIST SP 800-171 Revision 2](#nist-800-171-config-resources)
+ [Ressources requises pour la norme PCI DSS v3.2.1](#securityhub-standards-pci-config-resources)
+ [Ressources requises pour la norme de balisage AWS des ressources](#tagging-config-resources)
## Ressources requises pour tous les contrôles Security Hub CSPM
Pour que Security Hub CSPM puisse générer des résultats pour les contrôles déclenchés par des modifications qui sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Ce tableau indique également quels contrôles évaluent un type de ressource particulier. Un seul contrôle peut évaluer plusieurs types de ressources.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/controls-config-resources.html)
## Ressources requises pour la norme des meilleures pratiques de sécurité AWS fondamentales
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications qui s'appliquent à la norme AWS Foundational Security Best Practices (v.1.0.0), sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[AWS Norme relative aux meilleures pratiques de sécurité fondamentales dans Security Hub CSPM](fsbp-standard.md).
| Service AWS | Types de ressources |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CodeBuild | `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup` |
| Amazon Cognito | `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool` |
| Amazon Connect | `AWS::Connect::Instance` |
| AWS DataSync | `AWS::DataSync::Task` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| AWS Glue | `AWS::Glue::Job`, `AWS::Glue::MLTransform` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Key` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Redshift sans serveur | `AWS::RedshiftServerless::Workgroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket` |
| Amazon SageMaker AI | `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Step Functions | `AWS::StepFunctions::StateMachine` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
| Amazon WorkSpaces | `AWS::WorkSpaces::WorkSpace` |
## Ressources nécessaires pour le test de référence AWS des fondations du CIS
Pour effectuer des contrôles de sécurité pour les contrôles activés qui s'appliquent au Center for Internet Security (CIS) AWS Foundations Benchmark, Security Hub CSPM exécute les étapes d'audit exactes prescrites pour les contrôles ou utilise des règles AWS Config gérées spécifiques. Pour plus d'informations sur cette norme dans Security Hub CSPM, consultez. [La référence de CIS AWS Foundations en matière de Security Hub (CSPM)](cis-aws-foundations-benchmark.md)
### Ressources requises pour CIS v5.0.0
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications CIS v5.0.0 activés qui utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config
| Service AWS | Types de ressources |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::FileSystem` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Ressources requises pour CIS v3.0.0
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications CIS v3.0.0 activés qui utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config
| Service AWS | Types de ressources |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Ressources requises pour CIS v1.4.0
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications CIS v1.4.0 activés qui utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config
| Service AWS | Types de ressources |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Ressources requises pour CIS v1.2.0
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications CIS v1.2.0 activés qui utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config
| Service AWS | Types de ressources |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::SecurityGroup` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
## Ressources requises pour la norme NIST SP 800-53 Revision 5
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications qui s'appliquent à la norme NIST SP 800-53 Revision 5, sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[NIST SP 800-53, révision 5 dans Security Hub CSPM](standards-reference-nist-800-53.md).
| Service AWS | Types de ressources |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Ressources requises pour la norme NIST SP 800-171 Revision 2
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles déclenchés par des modifications qui s'appliquent à la norme NIST SP 800-171 Revision 2, sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[NIST SP 800-171, révision 2 dans Security Hub CSPM](standards-reference-nist-800-171.md).
| Service AWS | Types de ressources |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| Gestion des identités et des accès AWS(JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Ressources requises pour la norme PCI DSS v3.2.1
Pour que Security Hub CSPM puisse rapporter avec précision les résultats des contrôles qui s'appliquent à la version 3.2.1 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), sont activés et utilisent une AWS Config règle, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[PCI DSS dans Security Hub CSPM](pci-standard.md).
| Service AWS | Types de ressources |
| --- | --- |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot` |
| Amazon Redshift | `AWS::Redshift::Cluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
## Ressources requises pour la norme de balisage AWS des ressources
Tous les contrôles qui s'appliquent à la norme de balisage AWS des ressources sont déclenchés par des modifications et utilisent une AWS Config règle. Pour que Security Hub CSPM puisse rapporter avec précision les résultats de ces contrôles, vous devez enregistrer les types de ressources suivants dans. AWS Config Pour plus d'informations sur cette norme, consultez[AWS Norme de balisage des ressources dans Security Hub CSPM](standards-tagging.md).
| Service AWS | Types de ressources |
| --- | --- |
| AWS Amplify | `AWS::Amplify::App`, `AWS::Amplify::Branch` |
| Amazon AppFlow | `AWS::AppFlow::Flow` |
| AWS App Runner | `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector` |
| AWS AppConfig | `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| Amazon Athena | `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup` |
| AWS Backup | `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan` |
| AWS Batch | `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CloudTrail | `AWS::CloudTrail::Trail` |
| AWS CodeArtifact | `AWS::CodeArtifact::Repository` |
| Amazon CodeGuru | `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation` |
| Amazon Connect | `AWS::CustomerProfiles::ObjectType` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup` |
| AWS DataSync | `AWS::DataSync::Task` |
| Amazon Detective | `AWS::Detective::Graph` |
| Amazon DynamoDB | `AWS::DynamoDB::Trail` |
| Amazon Elastic Compute Cloud (EC2) | `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::PublicRepository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EventBridge | `AWS::Events::EventBus` |
| Amazon Fraud Detector | `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable` |
| AWS Global Accelerator | `AWS::GlobalAccelerator::Accelerator` |
| AWS Glue | `AWS::Glue::Job` |
| Amazon GuardDuty | `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet` |
| Gestion des identités et des accès AWS (JE SUIS) | `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Identity and Access Management Access Analyzer (Analyseur d'accès IAM) | `AWS::AccessAnalyzer::Analyzer` |
| AWS IoT | `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile` |
| AWS IoT Événements | `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input` |
| AWS IoT SiteWise | `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project` |
| AWS IoT TwinMaker | `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace` |
| AWS IoT Sans fil | `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile` |
| Amazon Interactive Video Service (Amazon IVS) | `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration` |
| Amazon Keyspaces (pour Apache Cassandra) | `AWS::Cassandra::Keyspace` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| AWS Autorité de certification privée | `AWS::ACMPCA::CertificateAuthority` |
| Amazon Relational Database Service | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription` |
| Amazon Route 53 | `AWS::Route53::HealthCheck` |
| Amazon SageMaker AI | `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| Amazon Simple Email Service (Amazon SES) | `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Step Functions | `AWS::StepFunctions::Activity` |
| AWS Systems Manager (SSM) | `AWS::SSM::Document` |
| AWS Transfer Family | `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow` |
# Planification de l'exécution des vérifications de sécurité
Une fois que vous avez activé une norme de sécurité, AWS Security Hub CSPM commence à exécuter toutes les vérifications dans les deux heures. La plupart des contrôles commencent à être exécutés dans les 25 minutes. Security Hub CSPM exécute des vérifications en évaluant la règle sous-jacente à un contrôle. Jusqu'à ce qu'un contrôle termine sa première série de vérifications, son statut est **Aucune donnée**.
Lorsque vous activez une nouvelle norme, Security Hub CSPM peut mettre jusqu'à 24 heures à générer des résultats pour les contrôles qui utilisent la même règle sous-jacente AWS Config liée au service que les contrôles activés issus d'autres normes activées. Par exemple, si vous activez le contrôle [Lambda.1](lambda-controls.md#lambda-1) dans la norme AWS Foundational Security Best Practices (FSBP), Security Hub CSPM crée la règle liée au service et génère généralement des résultats en quelques minutes. Ensuite, si vous activez le contrôle Lambda.1 dans la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), Security Hub CSPM peut mettre jusqu'à 24 heures à générer des résultats pour le contrôle, car celui-ci utilise la même règle liée au service.
Après la vérification initiale, le calendrier de chaque contrôle peut être périodique ou déclenché par des modifications. Pour un contrôle basé sur une AWS Config règle gérée, la description du contrôle inclut un lien vers la description de la règle dans le *guide du AWS Config développeur*. Cette description indique si la règle est déclenchée par des modifications ou périodique.
## Contrôles de sécurité périodiques
Les contrôles de sécurité périodiques sont exécutés automatiquement dans les 12 ou 24 heures suivant la dernière exécution. Security Hub CSPM détermine la périodicité, et vous ne pouvez pas la modifier. Les contrôles périodiques reflètent une évaluation au moment où le contrôle est exécuté.
Si vous mettez à jour l'état du flux de travail d'un résultat de contrôle périodique, puis que, lors de la prochaine vérification, le statut de conformité du résultat reste le même, le statut du flux de travail reste dans son état modifié. Par exemple, si vous ne parvenez pas à trouver le contrôle [KMS.4](kms-controls.md#kms-4) (la *AWS KMS key rotation doit être activée*), puis que vous corrigez le résultat, Security Hub CSPM change le statut du flux de travail de à. `NEW` `RESOLVED` Si vous désactivez la rotation des clés KMS avant la prochaine vérification périodique, l'état du résultat dans le flux de travail est conservé`RESOLVED`.
Les contrôles qui utilisent les fonctions Lambda personnalisées de Security Hub CSPM sont périodiques.
## Contrôles de sécurité déclenchés par des modifications
Les contrôles de sécurité déclenchés par des modifications sont exécutés lorsque la ressource associée change d'état. AWS Config vous permet de choisir entre *un enregistrement continu* des modifications de l'état des ressources et un *enregistrement quotidien*. Si vous optez pour un enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats du Security Hub CSPM jusqu'à ce qu'une période de 24 heures soit terminée. Quelle que soit la période d'enregistrement que vous avez choisie, Security Hub CSPM vérifie toutes les 18 heures qu'aucune mise à jour des ressources n'a AWS Config été manquée.
En général, Security Hub CSPM utilise des règles déclenchées par des modifications chaque fois que cela est possible. Pour qu'une ressource utilise une règle déclenchée par des modifications, elle doit prendre en charge les éléments AWS Config de configuration.
# Génération et mise à jour des résultats de contrôle
AWS Security Hub CSPM génère et met à jour les résultats des contrôles lorsqu'il effectue des vérifications par rapport aux contrôles de sécurité. Les résultats des contrôles utilisent le [format ASFF (AWS Security Finding Format).](securityhub-findings-format.md)
Security Hub CSPM facture normalement chaque contrôle de sécurité effectué pour un contrôle. Toutefois, si plusieurs contrôles utilisent la même AWS Config règle, Security Hub CSPM ne facture qu'une seule fois pour chaque vérification effectuée par rapport à la règle. Par exemple, la AWS Config `iam-password-policy` règle est utilisée par plusieurs contrôles dans les normes CIS AWS Foundations Benchmark et AWS Foundational Security Best Practices. Chaque fois que Security Hub CSPM effectue une vérification par rapport à cette règle, il génère un résultat de contrôle distinct pour chaque contrôle associé, mais ne facture qu'une seule fois pour le contrôle.
Si la taille d'un résultat de contrôle dépasse le maximum de 240 Ko, Security Hub CSPM supprime l'`Resource.Details`objet du résultat. Pour les contrôles basés sur des AWS Config ressources, vous pouvez consulter les détails des ressources à l'aide de la AWS Config console.
**Topics**
+ [Conclusions de contrôle consolidées](#consolidated-control-findings)
+ [Génération, mise à jour et archivage des résultats des contrôles](#securityhub-standards-results-updating)
+ [Automatisation et suppression des résultats de contrôle](#automation-control-findings)
+ [Détails de conformité pour les résultats des contrôles](#control-findings-asff-compliance)
+ [ProductFields détails relatifs aux résultats des contrôles](#control-findings-asff-productfields)
+ [Niveaux de gravité des résultats de contrôle](#control-findings-severity)
## Conclusions de contrôle consolidées
Si les résultats de contrôle consolidés sont activés pour votre compte, Security Hub CSPM génère une seule découverte ou mise à jour des résultats pour chaque contrôle de sécurité d'un contrôle, même si un contrôle s'applique à plusieurs normes activées. Pour obtenir la liste des contrôles et des normes auxquelles ils s'appliquent, consultez le[Référence de contrôle pour Security Hub CSPM](securityhub-controls-reference.md). Nous recommandons d'activer les résultats de contrôle consolidés afin de réduire le bruit de détection.
Si vous avez activé Security Hub CSPM Compte AWS avant le 23 février 2023, vous pouvez activer les résultats de contrôle consolidés en suivant les instructions fournies plus loin dans cette section. Si vous activez Security Hub CSPM le 23 février 2023 ou après cette date, les résultats de contrôle consolidés sont automatiquement activés pour votre compte.
Si vous utilisez l'[intégration du Security Hub CSPM avec](securityhub-accounts-orgs.md) des comptes membres AWS Organizations ou si vous les invitez par le biais [d'un processus d'invitation manuel](account-management-manual.md), les résultats de contrôle consolidés ne sont activés pour les comptes membres que s'ils sont activés pour le compte administrateur. Si la fonctionnalité est désactivée pour le compte administrateur, elle est désactivée pour les comptes membres. Ce comportement s'applique aux comptes de membres nouveaux et existants. En outre, si l'administrateur utilise une [configuration centralisée](central-configuration-intro.md) pour gérer le Security Hub CSPM pour plusieurs comptes, il ne peut pas utiliser de politiques de configuration centralisées pour activer ou désactiver les résultats de contrôle consolidés pour les comptes.
Si vous désactivez les résultats de contrôle consolidés pour votre compte, Security Hub CSPM génère ou met à jour un résultat de contrôle distinct pour chaque norme activée qui inclut un contrôle. Par exemple, si vous activez quatre normes qui partagent un contrôle, vous recevez quatre résultats distincts après un contrôle de sécurité pour le contrôle. Si vous activez les résultats de contrôle consolidés, vous ne recevez qu'un seul résultat.
Lorsque vous activez les résultats de contrôle consolidés, Security Hub CSPM crée de nouveaux résultats indépendants des normes et archive les résultats standard d'origine. Certains champs et valeurs de recherche de contrôle vont changer, ce qui peut avoir un impact sur vos flux de travail existants. Pour plus d'informations sur ces modifications, consultez[Conclusions de contrôle consolidées — modifications apportées à l'ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). L'activation des résultats de contrôle consolidés peut également affecter les résultats que les produits tiers intégrés reçoivent de Security Hub CSPM. Si vous utilisez la solution [Automated Security Response on AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), notez qu'elle prend en charge les résultats de contrôle consolidés.
Pour activer ou désactiver les résultats de contrôle consolidés, vous devez être connecté à un compte administrateur ou à un compte autonome.
**Note**
Une fois que vous avez activé les résultats de contrôle consolidés, Security Hub CSPM peut mettre jusqu'à 24 heures pour générer de nouveaux résultats consolidés et archiver les résultats standard existants. De même, après avoir désactivé les résultats de contrôle consolidés, Security Hub CSPM peut mettre jusqu'à 24 heures pour générer de nouveaux résultats basés sur des normes et archiver les résultats consolidés existants. Au cours de ces périodes, il est possible que vous constatiez un mélange de résultats indépendants des normes et de résultats basés sur les normes dans votre compte.
------
#### [ Security Hub CSPM console ]
**Pour activer ou désactiver les résultats des contrôles consolidés**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, sous **Paramètres**, choisissez **Général**.
1. Dans la section **Contrôles**, choisissez **Modifier**.
1. Utilisez le commutateur **Consolidated control findings** pour activer ou désactiver les résultats de contrôle consolidés.
1. Choisissez **Enregistrer**.
------
#### [ Security Hub CSPM API ]
Pour activer ou désactiver les résultats des contrôles consolidés par programmation, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)API Security Hub CSPM. Ou, si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)commande.
Pour le `control-finding-generator` paramètre, spécifiez `SECURITY_CONTROL` pour activer les résultats de contrôle consolidés. Pour désactiver les résultats des contrôles consolidés, spécifiez`STANDARD_CONTROL`.
Par exemple, la AWS CLI commande suivante permet de consolider les résultats des contrôles.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```
La AWS CLI commande suivante désactive les résultats de contrôle consolidés.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```
------
## Génération, mise à jour et archivage des résultats des contrôles
[Security Hub CSPM exécute des contrôles de sécurité selon un calendrier.](securityhub-standards-schedule.md) La première fois que Security Hub CSPM effectue un contrôle de sécurité pour un contrôle, il génère un nouveau résultat pour chaque AWS ressource vérifiée par le contrôle. Chaque fois que Security Hub CSPM effectue ensuite un contrôle de sécurité pour le contrôle, il met à jour les résultats existants pour signaler les résultats du contrôle. Cela signifie que vous pouvez utiliser les données fournies par les résultats individuels pour suivre les changements de conformité pour des ressources spécifiques par rapport à des contrôles particuliers.
Par exemple, si le statut de conformité d'une ressource passe de `FAILED` à `PASSED` pour un contrôle particulier, Security Hub CSPM ne génère pas de nouveau résultat. Security Hub CSPM met plutôt à jour les résultats existants pour le contrôle et la ressource. Dans le résultat, Security Hub CSPM remplace la valeur du champ État de conformité (`Compliance.Status`) par. `PASSED` Security Hub CSPM met également à jour les valeurs des champs supplémentaires afin de refléter les résultats de la vérification, par exemple, l'étiquette de gravité, le statut du flux de travail et les horodatages qui indiquent la date à laquelle Security Hub CSPM a effectué la dernière vérification et mis à jour le résultat.
Lorsque vous signalez une modification de l'état de conformité, Security Hub CSPM peut mettre à jour l'un des champs suivants dans une constatation de contrôle :
+ `Compliance.Status`— Le nouveau statut de conformité de la ressource pour le contrôle spécifié.
+ `FindingProviderFields.Severity.Label`— La nouvelle représentation qualitative de la gravité du résultat, telle que `LOW``MEDIUM`, ou`HIGH`.
+ `FindingProviderFields.Severity.Original`— La nouvelle représentation quantitative de la gravité de la constatation, par exemple `0` pour une ressource conforme.
+ `FirstObservedAt`— Lorsque le statut de conformité de la ressource a récemment changé.
+ `LastObservedAt`— Lorsque Security Hub CSPM a récemment effectué le contrôle de sécurité pour le contrôle et la ressource spécifiés.
+ `ProcessedAt`— Quand Security Hub CSPM a récemment commencé à traiter le résultat.
+ `ProductFields.PreviousComplianceStatus`— L'état de conformité précédent (`Compliance.Status`) de la ressource pour le contrôle spécifié.
+ `UpdatedAt`— Quand Security Hub CSPM a récemment mis à jour le résultat.
+ `Workflow.Status`— L'état de l'enquête sur le résultat, sur la base du nouveau statut de conformité de la ressource pour le contrôle spécifié.
La mise à jour d'un champ par Security Hub CSPM dépend principalement des résultats du dernier contrôle de sécurité concernant le contrôle et les ressources applicables. Par exemple, si le statut de conformité d'une ressource passe de `PASSED` à `FAILED` pour un contrôle particulier, Security Hub CSPM change le statut du flux de travail de la découverte en. `NEW` Pour suivre les mises à jour des résultats individuels, vous pouvez consulter l'historique d'un résultat. Pour plus de détails sur les champs individuels des résultats, voir [AWS Security Finding Format (ASFF).](securityhub-findings-format.md)
Dans certains cas, Security Hub CSPM génère de nouveaux résultats pour des vérifications ultérieures par un contrôle, au lieu de mettre à jour les résultats existants. Cela peut se produire en cas de problème avec la AWS Config règle qui soutient un contrôle. Dans ce cas, Security Hub CSPM archive le résultat existant et génère un nouveau résultat pour chaque vérification. Dans les nouvelles découvertes, le statut de conformité est `NOT_AVAILABLE` et l'état de l'enregistrement est`ARCHIVED`. Une fois que vous avez résolu le problème lié à la AWS Config règle, Security Hub CSPM génère de nouvelles conclusions et commence à les mettre à jour afin de suivre les modifications ultérieures du statut de conformité des ressources individuelles.
Outre la génération et la mise à jour des résultats de contrôle, Security Hub CSPM archive automatiquement les résultats de contrôle qui répondent à certains critères. Security Hub CSPM archive un résultat si le contrôle est désactivé, si la ressource spécifiée est supprimée ou si la ressource spécifiée n'existe plus. Il est possible qu'une ressource n'existe plus car le service associé n'est plus utilisé. Plus précisément, Security Hub CSPM archive automatiquement un résultat de contrôle si celui-ci répond à l'un des critères suivants :
+ Le résultat n'a pas été mis à jour depuis 3 à 5 jours. Notez que l'archivage basé sur cette période est effectué dans la mesure du possible et n'est pas garanti.
+ L' AWS Config évaluation associée renvoyée `NOT_APPLICABLE` pour l'état de conformité de la ressource spécifiée.
Pour déterminer si une recherche est archivée, vous pouvez vous référer au champ record state (`RecordState`) de la recherche. Si un résultat est archivé, la valeur de ce champ est`ARCHIVED`.
Security Hub CSPM stocke les résultats de contrôle archivés pendant 30 jours. Au bout de 30 jours, les résultats expirent et Security Hub CSPM les supprime définitivement. Pour déterminer si un résultat de contrôle archivé a expiré, Security Hub CSPM base son calcul sur la valeur du `UpdatedAt` champ du résultat.
Pour conserver les résultats de contrôle archivés pendant plus de 30 jours, vous pouvez les exporter vers un compartiment S3. Vous pouvez le faire en utilisant une action personnalisée avec une EventBridge règle Amazon. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md).
**Note**
Avant le 3 juillet 2025, Security Hub CSPM générait et mettait à jour les résultats de contrôle différemment lorsque le statut de conformité d'une ressource changeait pour un contrôle. Auparavant, Security Hub CSPM créait un nouveau résultat de contrôle et archivait le résultat existant pour une ressource. Par conséquent, vous pouvez avoir plusieurs résultats archivés pour un contrôle et une ressource particuliers jusqu'à leur expiration (après 30 jours).
## Automatisation et suppression des résultats de contrôle
Vous pouvez utiliser les règles d'automatisation CSPM de Security Hub pour mettre à jour ou supprimer des résultats de contrôle spécifiques. Si vous supprimez un résultat, vous pouvez continuer à y accéder. Cependant, la suppression indique que vous pensez qu'aucune action n'est nécessaire pour remédier à la constatation.
En supprimant les résultats, vous pouvez réduire le bruit de recherche. Par exemple, vous pouvez supprimer les résultats de contrôle générés dans les comptes de test. Vous pouvez également supprimer les résultats liés à des ressources spécifiques. Pour en savoir plus sur la mise à jour ou la suppression automatique des résultats, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Les règles d'automatisation sont appropriées lorsque vous souhaitez mettre à jour ou supprimer des résultats de contrôle spécifiques. Toutefois, si un contrôle n'est pas pertinent pour votre organisation ou votre cas d'utilisation, nous vous recommandons de [le désactiver](disable-controls-overview.md). Si vous désactivez un contrôle, Security Hub CSPM n'effectue aucun contrôle de sécurité pour celui-ci et vous n'êtes pas facturé pour ce contrôle.
## Détails de conformité pour les résultats des contrôles
Dans les résultats générés par les contrôles de sécurité pour les contrôles, l'objet de [conformité](asff-top-level-attributes.md#asff-compliance) et les champs du format ASFF ( AWS Security Finding Format) fournissent des détails de conformité pour les ressources individuelles vérifiées par un contrôle. Cela inclut les informations suivantes :
+ `AssociatedStandards`— Les normes activées dans lesquelles le contrôle est activé.
+ `RelatedRequirements`— Les exigences associées au contrôle dans toutes les normes activées. Ces exigences découlent de cadres de sécurité tiers pour le contrôle, tels que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) ou la norme NIST SP 800-171 révision 2.
+ `SecurityControlId`— L'identifiant pour le contrôle des normes prises en charge par Security Hub CSPM.
+ `Status`— Le résultat de la dernière vérification effectuée par Security Hub CSPM pour le contrôle. Les résultats des vérifications précédentes sont conservés dans l'historique des résultats.
+ `StatusReasons`— Tableau répertoriant les raisons de la valeur spécifiée par le `Status` champ. Pour chaque raison, cela inclut un code de motif et une description.
Le tableau suivant répertorie les codes de motif et les descriptions qu'un résultat peut inclure dans le `StatusReasons` tableau. Les étapes de correction varient en fonction du contrôle qui a généré une constatation avec un code de motif spécifié. Pour consulter les instructions de correction relatives à un contrôle, reportez-vous au[Référence de contrôle pour Security Hub CSPM](securityhub-controls-reference.md).
| Code de motif | Statut de conformité | Description |
| --- | --- | --- |
| `CLOUDTRAIL_METRIC_FILTER_NOT_VALID` | `FAILED` | Le CloudTrail parcours multirégional ne possède pas de filtre métrique valide. |
| `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT` | `FAILED` | Les filtres métriques ne sont pas présents pour le CloudTrail parcours multirégional. |
| `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT` | `FAILED` | Le compte ne dispose pas d'un CloudTrail parcours multirégional avec la configuration requise. |
| `CLOUDTRAIL_REGION_INVAILD` | `WARNING` | Les CloudTrail sentiers multirégionaux ne se trouvent pas dans la région actuelle. |
| `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID` | `FAILED` | Aucune action d'alarme valide n'est présente. |
| `CLOUDWATCH_ALARMS_NOT_PRESENT` | `FAILED` | CloudWatch les alarmes n'existent pas dans le compte. |
| `CONFIG_ACCESS_DENIED` | `NOT_AVAILABLE` AWS Config le statut est `ConfigError` | AWS Config accès refusé. Vérifiez qu'il AWS Config est activé et que des autorisations suffisantes ont été accordées. |
| `CONFIG_EVALUATIONS_EMPTY` | `PASSED` | AWS Config a évalué vos ressources en fonction de la règle. La règle ne s'appliquait pas aux AWS ressources incluses dans son champ d'application, les ressources spécifiées ont été supprimées ou les résultats de l'évaluation ont été supprimés. |
| `CONFIG_RECORDER_CUSTOM_ROLE` | `FAILED`(pour Config.1) | L' AWS Config enregistreur utilise un rôle IAM personnalisé au lieu du rôle AWS Config lié au service, et le paramètre `includeConfigServiceLinkedRoleCheck` personnalisé de Config.1 n'est pas défini sur. `false` |
| `CONFIG_RECORDER_DISABLED` | `FAILED`(pour Config.1) | AWS Config n'est pas activé lorsque l'enregistreur de configuration est activé. |
| `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES` | `FAILED`(pour Config.1) | AWS Config n'enregistre pas tous les types de ressources correspondant aux contrôles Security Hub CSPM activés. Activez l'enregistrement pour les ressources suivantes :*Resources that aren't being recorded*. |
| `CONFIG_RETURNS_NOT_APPLICABLE` | `NOT_AVAILABLE` | Le statut de conformité est `NOT_AVAILABLE` dû au fait que le statut « **Non applicable** » a été AWS Config renvoyé. AWS Config ne fournit pas la raison du statut. Voici quelques raisons pouvant expliquer le statut **Non applicable** : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_EVALUATION_ERROR` | `NOT_AVAILABLE` AWS Config le statut est `ConfigError` | Ce code de motif est utilisé pour plusieurs types d'erreur d'évaluation différents. La description fournit des informations sur la raison spécifique. Le type d'erreur peut être l'un des suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_NOT_FOUND` | `NOT_AVAILABLE` AWS Config le statut est `ConfigError` | La AWS Config règle est en cours de création. |
| `INTERNAL_SERVICE_ERROR` | `NOT_AVAILABLE` | Une erreur inconnue s’est produite. |
| `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE` | `FAILED` | Security Hub CSPM n'est pas en mesure d'effectuer une vérification par rapport à un environnement d'exécution Lambda personnalisé. |
| `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Le résultat est dans un `WARNING` état car le compartiment S3 associé à cette règle se trouve dans une région ou un compte différent. Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes. Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource. |
| `SNS_SUBSCRIPTION_NOT_PRESENT` | `FAILED` | Les filtres métriques CloudWatch Logs ne disposent pas d'un abonnement Amazon SNS valide. |
| `SNS_TOPIC_CROSS_ACCOUNT` | `WARNING` | Le résultat est en `WARNING` état. La rubrique SNS associée à cette règle appartient à un autre compte. Le compte courant ne peut pas obtenir les informations d'abonnement. Le compte propriétaire de la rubrique SNS doit accorder au compte actuel l'`sns:ListSubscriptionsByTopic`autorisation pour la rubrique SNS. |
| `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Le résultat est invalide `WARNING` car le sujet SNS associé à cette règle se trouve dans une autre région ou dans un autre compte. Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes. Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource. |
| `SNS_TOPIC_INVALID` | `FAILED` | La rubrique SNS associée à cette règle n'est pas valide. |
| `THROTTLING_ERROR` | `NOT_AVAILABLE` | L'opération d’API pertinente a dépassé le taux autorisé. |
## ProductFields détails relatifs aux résultats des contrôles
Dans les résultats générés par les contrôles de sécurité pour les contrôles, l'[ProductFields](asff-top-level-attributes.md#asff-productfields)attribut du format ASFF ( AWS Security Finding Format) peut inclure les champs suivants.
`ArchivalReasons:0/Description`
Décrit pourquoi Security Hub CSPM a archivé une découverte.
Par exemple, Security Hub CSPM archive les résultats existants lorsque vous désactivez un contrôle ou une norme, ou lorsque vous activez ou désactivez les résultats de [contrôle consolidés](#consolidated-control-findings).
`ArchivalReasons:0/ReasonCode`
Spécifie pourquoi Security Hub CSPM a archivé un résultat.
Par exemple, Security Hub CSPM archive les résultats existants lorsque vous désactivez un contrôle ou une norme, ou lorsque vous activez ou désactivez les résultats de [contrôle consolidés](#consolidated-control-findings).
`PreviousComplianceStatus`
État de conformité précédent (`Compliance.Status`) de la ressource pour le contrôle spécifié, à compter de la dernière mise à jour du résultat. Si le statut de conformité de la ressource n'a pas changé lors de la dernière mise à jour, cette valeur est identique à la valeur du `Compliance.Status` champ du résultat. Pour obtenir une liste des valeurs possibles, consultez [Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md).
`StandardsGuideArn` ou `StandardsArn`
L'ARN de la norme associée au contrôle.
Pour la norme CIS AWS Foundations Benchmark, le champ est`StandardsGuideArn`. En ce qui concerne les normes PCI DSS et les meilleures pratiques de sécurité AWS fondamentales, le domaine est. `StandardsArn`
Ces champs sont supprimés au profit de `Compliance.AssociatedStandards` si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`StandardsGuideSubscriptionArn` ou `StandardsSubscriptionArn`
L'ARN de l'abonnement du compte à la norme.
Pour la norme CIS AWS Foundations Benchmark, le champ est`StandardsGuideSubscriptionArn`. En ce qui concerne les normes PCI DSS et les meilleures pratiques de sécurité AWS fondamentales, le domaine est. `StandardsSubscriptionArn`
Ces champs sont supprimés si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`RuleId` ou `ControlId`
Identifiant du contrôle.
Pour la version 1.2.0 de la norme CIS AWS Foundations Benchmark, le champ est`RuleId`. Pour les autres normes, y compris les versions ultérieures de la norme de référence CIS AWS Foundations, le champ est`ControlId`.
Ces champs sont supprimés au profit de `Compliance.SecurityControlId` si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`RecommendationUrl`
URL contenant les informations de correction pour le contrôle. Ce champ est supprimé au profit de `Remediation.Recommendation.Url` si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`RelatedAWSResources:0/name`
Nom de la ressource associée à la découverte.
`RelatedAWSResource:0/type`
Type de ressource associé au contrôle.
`StandardsControlArn`
L'ARN du contrôle. Ce champ est supprimé si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
`aws/securityhub/ProductName`
Pour les résultats de contrôle, le nom du produit est`Security Hub`.
`aws/securityhub/CompanyName`
Pour les résultats de contrôle, le nom de la société est`AWS`.
`aws/securityhub/annotation`
Description du problème découvert par le contrôle.
`aws/securityhub/FindingId`
Identifiant de la recherche.
Ce champ ne fait pas référence à une norme si vous activez les [résultats de contrôle consolidés](#consolidated-control-findings).
## Niveaux de gravité des résultats de contrôle
La sévérité attribuée à un contrôle Security Hub CSPM indique l'importance de ce contrôle. La sévérité d'un contrôle détermine le label de gravité attribué aux résultats du contrôle.
### Critères de sévérité
La sévérité d'un contrôle est déterminée sur la base d'une évaluation des critères suivants :
+ **Est-il difficile pour un auteur de menaces de tirer parti de la faiblesse de configuration associée au contrôle ?** La difficulté est déterminée par le degré de sophistication ou de complexité requis pour utiliser la faiblesse afin de réaliser un scénario de menace.
+ **Quelle est la probabilité que cette faiblesse compromette vos ressources Comptes AWS ou celles de vos ressources ?** La compromission de vos ressources Comptes AWS ou de vos ressources signifie que la confidentialité, l'intégrité ou la disponibilité de vos données ou de votre AWS infrastructure sont compromises d'une manière ou d'une autre. La probabilité d'une compromission indique la probabilité que le scénario de menace entraîne une interruption ou une violation de vos ressources Services AWS ou de vos ressources.
À titre d'exemple, considérez les faiblesses de configuration suivantes :
+ Les clés d'accès des utilisateurs ne sont pas renouvelées tous les 90 jours.
+ La clé utilisateur root IAM existe.
Il est tout aussi difficile pour un adversaire de tirer parti de ces deux faiblesses. Dans les deux cas, l'adversaire peut avoir recours au vol d'informations d'identification ou à une autre méthode pour obtenir une clé utilisateur. Ils peuvent ensuite l'utiliser pour accéder à vos ressources de manière non autorisée.
Cependant, le risque de compromission est beaucoup plus élevé si l'auteur de la menace obtient la clé d'accès de l'utilisateur root, car cela lui donne un meilleur accès. Par conséquent, la faiblesse de la clé de l'utilisateur root est plus grave.
La gravité ne tient pas compte de la criticité de la ressource sous-jacente. La criticité est le niveau d'importance des ressources associées à la découverte. Par exemple, une ressource associée à une application critique est plus critique qu'une ressource associée à des tests hors production. Pour saisir des informations sur la criticité des ressources, utilisez le `Criticality` champ du format ASFF ( AWS Security Finding Format).
Le tableau suivant décrit la difficulté d'exploitation et le risque de compromission des étiquettes de sécurité.
| | | | | |
| --- |--- |--- |--- |--- |
| | **Compromis très probable** | **Compromis probable** | **Compromis peu probable** | **Compromis très peu probable** |
| **Très facile à exploiter** | Critique | Critique | Élevée | Moyenne |
| **Assez facile à exploiter** | Critique | Élevée | Moyenne | Moyenne |
| **Assez difficile à exploiter** | Élevée | Moyenne | Moyenne | Faible |
| **Très difficile à exploiter** | Moyenne | Moyenne | Faible | Faible |
### Définitions de la gravité
Les étiquettes de gravité sont définies comme suit.
**Critique — Le problème doit être résolu immédiatement pour éviter qu'il ne s'aggrave.**
Par exemple, un compartiment S3 ouvert est considéré comme une résultat dont la gravité est critique. Étant donné que de nombreux acteurs de la menace recherchent des compartiments S3 ouverts, les données contenues dans les compartiments S3 exposés sont susceptibles d'être découvertes et d'être consultées par d'autres personnes.
En général, les ressources accessibles au public sont considérées comme des problèmes de sécurité critiques. Vous devez traiter les résultats critiques avec la plus grande urgence. Vous devez également tenir compte de l’importance de la ressource.
**Élevé — Le problème doit être traité en priorité à court terme.**
Par exemple, si un groupe de sécurité VPC par défaut est ouvert au trafic entrant et sortant, son niveau de gravité est considéré comme élevé. Il est assez facile pour un auteur de menaces de compromettre un VPC en utilisant cette méthode. Il est également probable que l'auteur de la menace soit en mesure de perturber ou d'exfiltrer les ressources une fois qu'elles se trouvent dans le VPC.
Security Hub CSPM vous recommande de traiter une constatation de gravité élevée comme une priorité à court terme. Vous devez prendre des mesures correctives immédiates. Vous devez également tenir compte de l’importance de la ressource.
**Moyen — Le problème devrait être traité en priorité à moyen terme.**
Par exemple, l'absence de chiffrement des données en transit est considérée comme une constatation de gravité moyenne. Une man-in-the-middle attaque sophistiquée est nécessaire pour tirer parti de cette faiblesse. En d'autres termes, c'est un peu difficile. Il est probable que certaines données soient compromises si le scénario de menace est réussi.
Security Hub CSPM vous recommande de rechercher la ressource impliquée dès que possible. Vous devez également tenir compte de l’importance de la ressource.
**Faible — Le problème ne nécessite aucune action en soi.**
Par exemple, l'absence de collecte d'informations médico-légales est considérée comme peu grave. Ce contrôle peut aider à prévenir de futurs compromis, mais l'absence de criminalistique ne mène pas directement à un compromis.
Il n’est pas nécessaire de prendre des mesures immédiates en cas de constatation de faible gravité, mais ces résultats peuvent fournir un contexte lorsque vous les mettez en corrélation avec d’autres problèmes.
**Information — Aucune faiblesse de configuration n'a été détectée.**
En d'autres termes, le statut est `PASSED``WARNING`, ou`NOT AVAILABLE`.
Aucune action spécifique n'est recommandée. Les résultats fournis à titre informatif aident les clients à démontrer qu'ils sont dans un état de conformité.
# Évaluation de l'état de conformité et de l'état du contrôle
Le `Compliance.Status` champ du format de recherche de AWS sécurité décrit le résultat d'un résultat de contrôle. AWS Security Hub CSPM utilise l'état de conformité des résultats des contrôles pour déterminer un état de contrôle global. L'état du contrôle est affiché sur la page de détails d'un contrôle sur la console Security Hub CSPM.
## Évaluation de l'état de conformité des résultats du Security Hub CSPM
L'état de conformité de chaque constatation se voit attribuer l'une des valeurs suivantes :
+ `PASSED`— Indique que le contrôle a réussi le contrôle de sécurité pour le résultat. Cela définit automatiquement le Security Hub CSPM sur. `Workflow.Status` `RESOLVED`
+ `FAILED`— Indique que le contrôle n'a pas réussi le contrôle de sécurité pour le résultat.
+ `WARNING`— Indique que Security Hub CSPM ne peut pas déterminer si la ressource est dans un état `PASSED` ou`FAILED`. Par exemple, [l'enregistrement AWS Config des ressources](securityhub-setup-prereqs.md#config-resource-recording) n'est pas activé pour le type de ressource correspondant.
+ `NOT_AVAILABLE`— Indique que le contrôle ne peut pas être effectué car un serveur est défaillant, la ressource a été supprimée ou le résultat de l' AWS Config évaluation l'a été`NOT_APPLICABLE`. Si le résultat de AWS Config l'évaluation est le cas`NOT_APPLICABLE`, Security Hub CSPM archive automatiquement le résultat.
Si le statut de conformité d'une constatation passe de `PASSED` à`FAILED`, ou `WARNING``NOT_AVAILABLE`, et `Workflow.Status` était l'un `NOTIFIED` ou l'autre`RESOLVED`, Security Hub CSPM passe `Workflow.Status` automatiquement à. `NEW`
Si vous ne disposez pas de ressources correspondant à un contrôle, Security Hub CSPM produit un `PASSED` résultat au niveau du compte. Si vous avez une ressource correspondant à un contrôle mais que vous la supprimez ensuite, Security Hub CSPM crée une `NOT_AVAILABLE` recherche et l'archive immédiatement. Au bout de 18 heures, vous recevez un `PASSED` résultat car vous ne disposez plus des ressources correspondant au contrôle.
## Dérivation du statut de contrôle à partir de l'état de conformité
Security Hub CSPM obtient un statut de contrôle global à partir de l'état de conformité des résultats des contrôles. Lors de la détermination de l'état du contrôle, Security Hub CSPM ignore les résultats contenant un `RecordState` de `ARCHIVED` et ceux contenant un de. `Workflow.Status` `SUPPRESSED`
L'une des valeurs suivantes est attribuée à l'état du contrôle :
+ **Réussi** — Indique que le statut de conformité de tous les résultats est de`PASSED`.
+ **Echec** — Indique qu'au moins un résultat a un statut de conformité de`FAILED`.
+ **Inconnu** — Indique qu'au moins un résultat a un statut de conformité de `WARNING` ou`NOT_AVAILABLE`. Aucun résultat n'a un statut de conformité de`FAILED`.
+ **Aucune donnée** — Indique qu'aucun résultat n'a été trouvé pour le contrôle. Par exemple, un contrôle nouvellement activé possède ce statut jusqu'à ce que Security Hub CSPM commence à générer des résultats le concernant. Un contrôle possède également ce statut si tous ses résultats sont `SUPPRESSED` ou ne sont pas disponibles dans le courant Région AWS.
+ **Désactivé** — Indique que le contrôle est désactivé dans le compte courant et dans la région. Aucun contrôle de sécurité n'est actuellement effectué pour ce contrôle dans le compte courant et dans la région. Cependant, les résultats d'une commande désactivée peuvent avoir une valeur pour l'état de conformité jusqu'à 24 heures après la désactivation.
Pour un compte administrateur, le statut de contrôle reflète l'état de contrôle du compte administrateur et des comptes membres. Plus précisément, le statut général d'un contrôle apparaît comme **Échec** si le contrôle présente un ou plusieurs échecs trouvés dans le compte administrateur ou dans l'un des comptes membres. Si vous avez défini une région d'agrégation, le statut de contrôle dans la région d'agrégation reflète le statut de contrôle dans la région d'agrégation et les régions associées. Plus précisément, le statut général d'un contrôle apparaît comme **Échec** si le contrôle présente un ou plusieurs résultats d'échec dans la région d'agrégation ou dans l'une des régions liées.
Security Hub CSPM génère généralement l'état de contrôle initial dans les 30 minutes suivant votre première visite de la page **Résumé** ou de la page des **normes de sécurité** de la console Security Hub CSPM. L'[enregistrement des AWS Config ressources](controls-config-resources.md) doit être configuré pour que l'état du contrôle apparaisse. Une fois les statuts de contrôle générés pour la première fois, Security Hub CSPM les met à jour toutes les 24 heures en fonction des résultats des 24 heures précédentes. Un horodatage sur la page des détails du contrôle indique la date à laquelle l'état du contrôle a été mis à jour pour la dernière fois.
**Note**
Après avoir activé un contrôle pour la première fois, la génération des statuts de contrôle dans les régions de Chine et le AWS GovCloud (US) Region.
# Calcul des scores de sécurité
Sur la console AWS Security Hub CSPM, la page **Résumé** et la page **Contrôles** affichent un score de sécurité récapitulatif pour toutes les normes que vous avez activées. Sur la page **Normes de sécurité**, Security Hub CSPM affiche également un score de sécurité compris entre 0 et 100 % pour chaque norme activée.
Lorsque vous activez Security Hub CSPM pour la première fois, Security Hub CSPM calcule le score de sécurité récapitulatif et les scores de sécurité standard dans les 30 minutes suivant votre première visite sur la page **Résumé** ou sur les **normes de sécurité** de la console. Les scores sont générés uniquement pour les normes activées lorsque vous visitez ces pages sur la console. En outre, l'enregistrement AWS Config des ressources doit être configuré pour que les scores apparaissent. Le score de sécurité récapitulatif est la moyenne des scores de sécurité standard. Pour consulter la liste des normes actuellement activées, vous pouvez utiliser le [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)fonctionnement de l'API Security Hub CSPM.
Après la première génération de scores, Security Hub CSPM met à jour les scores de sécurité toutes les 24 heures. Security Hub CSPM affiche un horodatage pour indiquer la date de dernière mise à jour d'un score de sécurité. Notez que cela peut prendre jusqu'à 24 heures pour générer des scores de sécurité pour la première fois dans les régions de Chine et AWS GovCloud (US) Regions.
Si vous activez les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings), la mise à jour de vos scores de sécurité peut prendre jusqu'à 24 heures. En outre, l'activation d'une nouvelle région d'agrégation ou la mise à jour de régions liées réinitialise les scores de sécurité existants. Security Hub CSPM peut mettre jusqu'à 24 heures pour générer de nouveaux scores de sécurité incluant les données des régions mises à jour.
## Méthode de calcul des scores de sécurité
Les scores de sécurité représentent la proportion de contrôles **réussis** par rapport aux contrôles activés. Le score est affiché sous forme de pourcentage arrondi au nombre entier le plus proche.
Security Hub CSPM calcule un score de sécurité récapitulatif pour toutes les normes que vous avez activées. Security Hub CSPM calcule également un score de sécurité pour chaque norme activée. Aux fins du calcul du score, les contrôles activés incluent les contrôles dont le statut **est Réussi**, **Échoué** et **Inconnu**. Les contrôles dont le statut est **Aucune donnée** sont exclus du calcul du score.
Security Hub CSPM ignore les résultats archivés et supprimés lors du calcul de l'état du contrôle. Cela peut avoir un impact sur les scores de sécurité. Par exemple, si vous supprimez tous les résultats infructueux d'un contrôle, son statut devient **Réussi**, ce qui peut à son tour améliorer vos scores de sécurité. Pour plus d'informations sur l'état du contrôle, consultez[Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md).
**Exemple de notation :**
| Standard | Contrôles passés | Contrôles défaillants | Contrôles inconnus | Score standard |
| --- | --- | --- | --- | --- |
| AWS Bonnes pratiques de sécurité de base v1.0.0 | 168 | 22 | 0 | 88 % |
| Benchmark CIS AWS Foundations v1.4.0 | 8 | 29 | 0 | 22 % |
| Benchmark CIS AWS Foundations v1.2.0 | 6 | 35 | 0 | 15 % |
| Publication spéciale 800-53 du NIST, révision 5 | 159 | 56 | 0 | 74 % |
| PCI DSS v3.2.1 | 28 | 17 | 0 | 62 % |
Lors du calcul du score de sécurité récapitulatif, Security Hub CSPM ne compte chaque contrôle qu'une seule fois selon les normes. Par exemple, si vous avez activé un contrôle qui s'applique à trois normes activées, il ne compte que comme un seul contrôle activé à des fins de notation.
Dans cet exemple, bien que le nombre total de contrôles activés dans les normes activées soit de 528, Security Hub CSPM ne compte chaque contrôle unique qu'une seule fois à des fins de notation. Le nombre de contrôles uniques activés est probablement inférieur à 528. Si nous supposons que le nombre de contrôles uniques activés est de 515 et que le nombre de contrôles uniques passés est de 357, le score récapitulatif est de 69 %. Ce score est calculé en divisant le nombre de contrôles uniques réussis par le nombre de contrôles uniques activés.
Vous pouvez avoir un score récapitulatif différent du score de sécurité standard, même si vous n'avez activé qu'une seule norme sur votre compte dans la région actuelle. Cela peut se produire si vous êtes connecté à un compte administrateur et si des normes supplémentaires ou différentes sont activées sur les comptes des membres. Cela peut également se produire si vous consultez le score de la région d'agrégation et si des normes supplémentaires ou différentes normes sont activées dans les régions associées.
## Scores de sécurité pour les comptes d'administrateur
Si vous êtes connecté à un compte administrateur, le score de sécurité récapitulatif et les scores standard tiennent compte des statuts de contrôle du compte administrateur et de tous les comptes membres.
Si le statut d'un contrôle est **Échoué ne** serait-ce que pour un seul compte membre, son statut est **Échoué** dans le compte administrateur et a un impact sur les scores du compte administrateur.
Si vous êtes connecté à un compte administrateur et que vous consultez les scores d'une région d'agrégation, les scores de sécurité tiennent compte des statuts de contrôle de tous les comptes membres *et* de toutes les régions associées.
## Scores de sécurité si vous avez défini une région d'agrégation
Si vous avez défini une agrégation Région AWS, le score de sécurité récapitulatif et les scores standard tiennent compte des statuts de contrôle dans tous les cas Régions liées.
Si le statut d'un contrôle est **Échoué ne** serait-ce que dans une région liée, son statut est **Échoué** dans la région d'agrégation et a un impact sur les scores de la région d'agrégation.
Si vous êtes connecté à un compte administrateur et que vous consultez les scores d'une région d'agrégation, les scores de sécurité tiennent compte des statuts de contrôle de tous les comptes membres *et* de toutes les régions associées.
# Catégories de contrôle dans Security Hub CSPM
Une catégorie est attribuée à chaque contrôle. La catégorie d'un contrôle reflète la fonction de sécurité à laquelle le contrôle s'applique.
La valeur de la catégorie contient la catégorie, la sous-catégorie au sein de la catégorie et, éventuellement, un classificateur au sein de la sous-catégorie. Par exemple :
+ Identifier > Inventaire
+ Protection > Protection des données > Chiffrement des données en transit
Voici les descriptions des catégories, sous-catégories et classificateurs disponibles.
## Identifier
Élaborer la compréhension organisationnelle pour gérer les risques liés à la cybersécurité pour les systèmes, les actifs, les données et les capacités.
**Inventory**
Le service a-t-il mis en œuvre les stratégies de balisage des ressources appropriées ? Les stratégies de balisage incluent-elles le propriétaire de la ressource ?
Quelles ressources le service utilise-t-il ? S’agit-il de ressources approuvées pour ce service ?
Disposez-vous d’une visibilité sur le stock approuvé ? Par exemple, utilisez-vous des services tels qu'Amazon EC2 Systems Manager et Service Catalog ?
**Logging**
Avez-vous activé en toute sécurité toutes les journalisations pertinentes pour le service ? Les exemples de fichiers journaux sont les suivants :
+ Journaux de flux Amazon VPC
+ Journaux d'accès Elastic Load Balancing
+ CloudFront Journaux Amazon
+ Amazon CloudWatch Logs
+ Journalisation d'Amazon Relational Database Service
+ Journaux d'indexation lents d'Amazon OpenSearch Service
+ Suivi X-Ray
+ AWS Directory Service journaux
+ AWS Config articles
+ Instantanés
## Protection
Élaborer et mettre en œuvre les mesures de protection appropriées pour assurer la prestation des services d'infrastructure essentiels et des pratiques de codage sécurisées.
**Gestion sécurisée des accès**
Le service applique-t-il les pratiques du moindre privilège dans ses politiques IAM ou en matière de ressources ?
Les mots de passe et les secrets sont-ils suffisamment complexes ? La rotation est-elle réalisée de façon appropriée ?
Le service utilise-t-il l'authentification à plusieurs facteurs (MFA) ?
Le service évite-t-il l'utilisateur root ?
Les stratégies basées sur les ressources permet-elles l'accès du public ?
**Configuration réseau sécurisée**
Le service empêche-t-il l'accès au réseau distant public et non sécurisé ?
Le service est-il utilisé VPCs correctement ? Par exemple, les jobs doivent-ils être exécutés VPCs ?
Le service segmente-t-il et isole-t-il correctement les ressources sensibles ?
**Protection des données**
Chiffrement des données au repos : le service crypte-t-il les données au repos ?
Chiffrement des données en transit : le service crypte-t-il les données en transit ?
Intégrité des données : le service valide-t-il l'intégrité des données ?
Protection contre la suppression des données : le service protège-t-il les données contre toute suppression accidentelle ?
Gestion et utilisation des données — Utilisez-vous des services tels qu'Amazon Macie pour suivre l'emplacement de vos données sensibles ?
**Protection des API**
Le service utilise-t-il AWS PrivateLink pour protéger les opérations de l'API du service ?
**Services de protection**
Les services de protection appropriés sont-ils en installés ? Fournissent-ils la couverture appropriée ?
Les services de protection vous aident à détourner les attaques et les compromissions qui sont dirigées vers le service. Les exemples de services de protection AWS incluent AWS Control Tower,, AWS WAF AWS Shield Advanced, Vanta, Secrets Manager, IAM Access Analyzer et. AWS Resource Access Manager
**Développement sécurisé**
Utilisez-vous des pratiques de codage sécurisées ?
Évitez-vous des vulnérabilités telles que le Top 10 du projet OWASP (Open Web Application Security Project) ?
## Détection
Élaborer et mettre en œuvre les activités appropriées pour identifier la survenance d'un événement de cybersécurité.
**Services de détection**
Les services de détection appropriés sont-ils en place ?
Fournissent-ils la couverture appropriée ?
Les exemples de services de AWS détection incluent Amazon GuardDuty, AWS Security Hub CSPM, Amazon Inspector, Amazon Detective AWS IoT Device Defender, Amazon CloudWatch Alarms et. AWS Trusted Advisor
## Réponse
Élaborer et mettre en œuvre les activités appropriées pour prendre des mesures concernant un événement de cybersécurité détecté.
**Actions de réponse**
Répondez-vous rapidement aux événements de sécurité ?
Avez-vous des résultats critiques actifs ou de gravité élevée ?
**Analyse scientifique**
Pouvez-vous acquérir en toute sécurité des données d’analyse scientifique pour le service ? Par exemple, obtenez-vous des instantanés Amazon EBS associés à de véritables résultats positifs ?
Avez-vous créé un compte d’analyse scientifique ?
## Récupération
Élaborer et mettre en œuvre les activités appropriées pour maintenir des plans de résilience et rétablir les capacités ou les services qui ont été compromis en raison d'un événement de cybersécurité.
**Résilience**
La configuration du service prend-elle en charge les basculements gracieux, la mise à l'échelle élastique et la haute disponibilité ?
Avez-vous établi des sauvegardes ?
# Examiner les détails des contrôles dans Security Hub CSPM
La sélection d'un contrôle sur la page **Contrôles** ou sur la page de détails standard de la console Security Hub CSPM vous amène à une page de détails du contrôle.
Le haut de la page des détails du contrôle indique l'état du contrôle. L'état du contrôle résume les performances d'un contrôle en fonction de l'état de conformité des résultats du contrôle. Security Hub CSPM génère généralement l'état de contrôle initial dans les 30 minutes suivant votre première visite de la page **Résumé** ou de la page des **normes de sécurité** de la console Security Hub CSPM. Les statuts ne sont disponibles que pour les commandes activées lorsque vous visitez ces pages.
La page des détails du contrôle fournit également une ventilation de l'état de conformité des résultats du contrôle au cours des dernières 24 heures. Pour plus d'informations sur l'état du contrôle et le statut de conformité, consultez[Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md).
AWS Config l'enregistrement des ressources doit être configuré pour que l'état du contrôle apparaisse. Une fois les statuts de contrôle générés pour la première fois, Security Hub CSPM les met à jour toutes les 24 heures en fonction des résultats des 24 heures précédentes.
Les comptes d'administrateur bénéficient d'un statut de contrôle agrégé sur le compte administrateur et les comptes membres. Si vous avez défini une région d'agrégation, l'état du contrôle inclut les résultats de toutes les régions liées. Pour plus d'informations sur l'état du contrôle, consultez[Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md).
Vous pouvez également activer ou désactiver le contrôle depuis la page des détails du contrôle.
**Note**
Cela peut prendre jusqu'à 24 heures après l'activation d'un contrôle pour la génération des premiers statuts de contrôle dans les régions de Chine et. AWS GovCloud (US) Regions
L'onglet **Normes et exigences** répertorie les normes pour lesquelles un contrôle peut être activé et les exigences liées au contrôle à partir de différents cadres de conformité.
L'onglet **Checks** répertorie les résultats actifs du contrôle au cours des dernières 24 heures. Les résultats du contrôle sont générés et mis à jour lorsque Security Hub CSPM exécute des contrôles de sécurité pour le contrôle. La liste de cet onglet n'inclut pas les résultats archivés.
Pour chaque résultat, la liste donne accès aux détails de la recherche tels que le statut de conformité et les ressources associées. Vous pouvez également définir le statut du flux de travail de chaque résultat et envoyer les résultats à des actions personnalisées. Pour de plus amples informations, veuillez consulter [Examen et gestion des résultats des contrôles](securityhub-control-manage-findings.md).
## Afficher les détails d'un contrôle
Choisissez votre méthode d'accès préférée et suivez ces étapes pour consulter les détails d'un contrôle. Les détails s'appliquent au compte courant et à la région et incluent les éléments suivants :
+ Titre et description du contrôle.
+ Lien vers des conseils de correction en cas d'échec des contrôles.
+ La sévérité du contrôle.
+ État du contrôle.
Sur la console, vous pouvez également consulter la liste des résultats récents relatifs au contrôle. Pour ce faire par programmation, vous pouvez utiliser le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)fonctionnement de l'API Security Hub CSPM.
------
#### [ Security Hub CSPM console ]
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Choisissez **Controls** dans le volet de navigation.
1. Sélectionnez un contrôle.
------
#### [ Security Hub CSPM API ]
1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`Exécutez et fournissez une ou plusieurs normes ARNs pour obtenir une liste de contrôles IDs pour cette norme. Pour obtenir le standard ARNs, exécutez [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Si vous ne fournissez pas d'ARN standard, cette API renvoie tous les contrôles CSPM du Security Hub. IDs Cette API renvoie un contrôle de sécurité indépendant des normes IDs, et non le contrôle standard IDs qui existait avant la publication de ces fonctionnalités.
**Exemple de demande :**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. Exécutez `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)` pour obtenir des informations sur un ou plusieurs contrôles de l'actuel Compte AWS et Région AWS.
**Exemple de demande :**
```
{
"SecurityControlIds": ["Config.1", "IAM.1"]
}
```
------
#### [ AWS CLI ]
1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` commande et fournissez une ou plusieurs normes ARNs pour obtenir une liste de contrôle IDs. Pour obtenir le standard ARNs, exécutez la `describe-standards` commande. Si vous ne fournissez pas d'ARN standard, cette commande renvoie tous les contrôles CSPM du Security Hub. IDs Cette commande renvoie un contrôle de sécurité indépendant des normes IDs, et non le contrôle standard IDs qui existait avant la publication de ces fonctionnalités.
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html)` commande pour obtenir des détails sur un ou plusieurs contrôles dans le Compte AWS et actuel Région AWS.
```
aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'
```
------
# Contrôles de filtrage et de tri dans Security Hub CSPM
Sur la console AWS Security Hub CSPM, vous pouvez utiliser la page **Controls** pour consulter un tableau des contrôles actuellement disponibles. Région AWS L'exception est une région d'agrégation. Si vous avez [configuré une région d'agrégation](finding-aggregation.md) et que vous vous connectez à cette région, la console affiche les commandes disponibles dans la région d'agrégation ou dans une ou plusieurs régions liées.
Pour vous concentrer sur un sous-ensemble spécifique de contrôles, vous pouvez trier et filtrer le tableau des contrôles. Les options **Filtrer par** situées à côté du tableau peuvent vous aider à vous concentrer rapidement sur ces sous-ensembles spécifiques :
+ Toutes les commandes activées, c'est-à-dire les commandes activées dans au moins une norme activée.
+ Toutes les commandes désactivées, qui sont des commandes désactivées dans toutes les normes.
+ Toutes les commandes activées qui ont un statut de contrôle spécifique, tel que **Echec**. L'option **Aucune donnée n'**affiche uniquement les contrôles pour lesquels aucun résultat n'est actuellement disponible. Pour plus d'informations sur l'état du contrôle, consultez[Évaluation de l'état de conformité et de l'état du contrôle](controls-overall-status.md).
Outre les options **Filtrer par**, vous pouvez filtrer le tableau en saisissant des critères de filtre dans la zone **Contrôles de filtrage** située au-dessus du tableau. Par exemple, vous pouvez filtrer par ID de contrôle ou par gravité.
Par défaut, les contrôles dont le statut a **échoué** sont répertoriés en premier, par ordre décroissant de gravité. Vous pouvez modifier l'ordre de tri en choisissant un autre titre de colonne.
**Astuce**
Si vous avez des flux de travail automatisés basés sur les résultats des contrôles, nous vous recommandons d'utiliser les [champs `SecurityControlId` ou `SecurityControlArn` ASFF](securityhub-findings-format.md) comme filtres, plutôt que les `Description` champs `Title` ou. Ces derniers champs peuvent changer de temps en temps, tandis que l'ID de contrôle et l'ARN sont des identifiants statiques.
Si vous êtes connecté à un compte administrateur Security Hub CSPM, les contrôles **activés** incluent les contrôles activés dans au moins un compte membre. Si vous avez configuré une région d'agrégation, les contrôles **activés** incluent les contrôles activés dans au moins une région liée.
Si vous sélectionnez l'option à côté d'un contrôle activé, un panneau apparaît et affiche les normes dans lesquelles le contrôle est actuellement activé. Vous pouvez également voir les normes dans lesquelles le contrôle est actuellement désactivé. À partir de ce panneau, vous pouvez désactiver un contrôle dans toutes les normes. Pour de plus amples informations, veuillez consulter [Désactivation des contrôles dans Security Hub CSPM](disable-controls-overview.md). Pour les comptes d'administrateur, les informations du panneau reflètent les paramètres de tous vos comptes de membre.
Pour récupérer une liste de contrôles par programmation, vous pouvez utiliser le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)fonctionnement de l'API Security Hub CSPM. Pour récupérer les détails des commandes individuelles, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)opération.
# Comprendre les paramètres de contrôle dans Security Hub CSPM
Certains contrôles de AWS Security Hub CSPM utilisent des paramètres qui affectent la manière dont le contrôle est évalué. Généralement, ces contrôles sont évalués par rapport aux valeurs de paramètres par défaut définies par Security Hub CSPM. Toutefois, pour un sous-ensemble de ces contrôles, vous pouvez modifier les valeurs des paramètres. Lorsque vous modifiez la valeur d'un paramètre de contrôle, Security Hub CSPM commence à évaluer le contrôle par rapport à la valeur que vous spécifiez. Si la ressource sous-jacente au contrôle répond à la valeur personnalisée, Security Hub CSPM génère un résultat. `PASSED` Si la ressource ne correspond pas à la valeur personnalisée, Security Hub CSPM génère un `FAILED` résultat.
En personnalisant les paramètres de contrôle, vous pouvez affiner les meilleures pratiques de sécurité recommandées et surveillées par Security Hub CSPM afin de les aligner sur les exigences de votre entreprise et vos attentes en matière de sécurité. Au lieu de supprimer les résultats d'un contrôle, vous pouvez personnaliser un ou plusieurs de ses paramètres pour obtenir des résultats adaptés à vos besoins de sécurité.
Voici quelques exemples de cas d'utilisation pour modifier les paramètres de contrôle et définir des valeurs personnalisées :
+ **[CloudWatch.16] — les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée**
Vous pouvez définir la durée de conservation.
+ **[IAM.7] — Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte**
Vous pouvez définir des paramètres liés à la solidité du mot de passe.
+ **[EC2.18] — Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés**
Vous pouvez spécifier les ports autorisés à autoriser le trafic entrant sans restriction.
+ **[Lambda.5] — Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité**
Vous pouvez spécifier le nombre minimum de zones de disponibilité qui produisent un résultat réussi.
Cette section décrit les éléments à prendre en compte lorsque vous modifiez les paramètres de contrôle.
## Effet de la modification des valeurs des paramètres de contrôle
Lorsque vous modifiez la valeur d'un paramètre, vous déclenchez également un nouveau contrôle de sécurité qui évalue le contrôle en fonction de la nouvelle valeur. Security Hub CSPM génère ensuite de nouveaux résultats de contrôle en fonction de la nouvelle valeur. Lors des mises à jour périodiques visant à contrôler les résultats, Security Hub CSPM utilise également la nouvelle valeur du paramètre. Si vous modifiez les valeurs des paramètres d'un contrôle, mais que vous n'avez activé aucune norme incluant le contrôle, Security Hub CSPM n'effectue aucun contrôle de sécurité à l'aide des nouvelles valeurs. Vous devez activer au moins une norme pertinente pour que Security Hub CSPM évalue le contrôle en fonction de la nouvelle valeur du paramètre.
Un contrôle peut comporter un ou plusieurs paramètres personnalisables. Les types de données possibles pour chaque paramètre de contrôle sont les suivants :
+ Booléen
+ Double
+ Enum
+ EnumList
+ Entier
+ IntegerList
+ String
+ StringList
Les valeurs de paramètres personnalisées s'appliquent à toutes vos normes activées. Vous ne pouvez pas personnaliser les paramètres d'un contrôle qui n'est pas pris en charge dans votre région actuelle. Pour une liste des limites régionales pour les contrôles individuels, voir[Limites régionales relatives aux contrôles CSPM du Security Hub](regions-controls.md).
Pour certaines commandes, les valeurs de paramètres acceptables doivent se situer dans une plage spécifiée pour être valides. Dans ces cas, Security Hub CSPM fournit la plage acceptable.
Security Hub CSPM choisit les valeurs des paramètres par défaut et peut parfois les mettre à jour. Une fois que vous avez personnalisé un paramètre de contrôle, sa valeur reste celle que vous avez spécifiée pour le paramètre, sauf si vous la modifiez. En d'autres termes, le paramètre arrête de suivre les mises à jour de la valeur CSPM par défaut de Security Hub, même si la valeur personnalisée du paramètre correspond à la valeur par défaut actuelle définie par Security Hub CSPM. Voici un exemple pour le contrôle **[ACM.1] : les certificats importés et émis par ACM doivent être renouvelés après une** période spécifiée :
```
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 30
}
}
}
}
```
Dans l'exemple précédent, le `daysToExpiration` paramètre possède une valeur personnalisée de`30`. La valeur par défaut actuelle pour ce paramètre est également`30`. Si Security Hub CSPM modifie la valeur par défaut en`14`, le paramètre de cet exemple ne suivra pas cette modification. Il conservera une valeur de`30`.
Si vous souhaitez suivre les mises à jour de la valeur CSPM par défaut du Security Hub pour un paramètre, définissez le `ValueType` champ sur au `DEFAULT` lieu de. `CUSTOM` Pour de plus amples informations, veuillez consulter [Revenir aux paramètres de contrôle par défaut dans un seul compte et une seule région](revert-default-parameter-values.md#revert-default-parameter-values-local-config).
## Contrôles prenant en charge les paramètres personnalisés
Pour obtenir la liste des contrôles de sécurité qui prennent en charge les paramètres personnalisés, consultez la page **Contrôles** de la console Security Hub CSPM ou le. [Référence de contrôle pour Security Hub CSPM](securityhub-controls-reference.md) Pour récupérer cette liste par programmation, vous pouvez utiliser l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)opération. Dans la réponse, l'`CustomizableProperties`objet indique quelles commandes prennent en charge les paramètres personnalisables.
# Révision des valeurs des paramètres de contrôle actuels
Il peut être utile de connaître la valeur actuelle d'un paramètre de contrôle avant de le modifier.
Vous pouvez consulter les valeurs actuelles des différents paramètres de contrôle de votre compte. Si vous utilisez la configuration centralisée, l'administrateur délégué du AWS Security Hub CSPM peut également vérifier les valeurs des paramètres spécifiées dans une politique de configuration.
Choisissez votre méthode préférée et suivez les étapes pour vérifier les valeurs actuelles des paramètres de contrôle.
------
#### [ Security Hub CSPM console ]
**Pour consulter les valeurs actuelles des paramètres de contrôle (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Controls**. Choisissez un contrôle.
1. Sélectionnez l’onglet **Paramètres**. Cet onglet affiche les valeurs des paramètres actuels du contrôle.
------
#### [ Security Hub CSPM API ]
**Pour consulter les valeurs actuelles des paramètres de contrôle (API)**
Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API et fournissez un ou plusieurs contrôles de sécurité IDs ou ARNs. L'`Parameters`objet de la réponse indique les valeurs de paramètres actuelles pour les contrôles spécifiés.
Par exemple, la AWS CLI commande suivante indique les valeurs des paramètres actuels pour `APIGatway.1``CloudWatch.15`, et`IAM.7`. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```
------
Choisissez votre méthode préférée pour afficher les valeurs des paramètres actuels dans une politique de configuration centrale.
------
#### [ Security Hub CSPM console ]
**Pour consulter les valeurs actuelles des paramètres de contrôle dans une politique de configuration (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.
1. Dans l'onglet **Stratégies**, sélectionnez la politique de configuration, puis choisissez **Afficher les détails**. Les détails de la politique apparaissent alors, y compris les valeurs des paramètres actuels.
------
#### [ Security Hub CSPM API ]
**Pour consulter les valeurs actuelles des paramètres de contrôle dans une politique de configuration (API)**
1. Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)API depuis le compte d'administrateur délégué de la région d'origine.
1. Indiquez l'ARN ou l'ID de la politique de configuration dont vous souhaitez consulter les détails. La réponse inclut les valeurs des paramètres actuels.
Par exemple, la AWS CLI commande suivante récupère les valeurs actuelles des paramètres de contrôle dans la politique de configuration spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
Les résultats du contrôle incluent également les valeurs actuelles des paramètres de contrôle. Dans le[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md), ces valeurs apparaissent dans le `Parameters` champ de l'`Compliance`objet. **Pour consulter les résultats sur la console Security Hub CSPM, choisissez Findings dans le volet de navigation.** Pour examiner les résultats par programmation, utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)fonctionnement de l'API Security Hub CSPM.
# Personnalisation des valeurs des paramètres de contrôle
Les instructions de personnalisation des paramètres de contrôle varient selon que vous utilisez ou non la [configuration centralisée](central-configuration-intro.md) dans AWS Security Hub CSPM. La configuration centralisée est une fonctionnalité que l'administrateur délégué du Security Hub CSPM peut utiliser pour configurer les fonctionnalités du Security Hub CSPM sur les comptes et Régions AWS les unités organisationnelles (). OUs
Si votre organisation utilise une configuration centralisée, l'administrateur délégué peut créer des politiques de configuration qui incluent des paramètres de contrôle personnalisés. Ces politiques peuvent être associées à des comptes membres gérés de manière centralisée et OUs elles entrent en vigueur dans votre région d'origine et dans toutes les régions associées. L'administrateur délégué peut également désigner un ou plusieurs comptes comme étant autogérés, ce qui permet au propriétaire du compte de configurer ses propres paramètres séparément dans chaque région. Si votre organisation n'utilise pas de configuration centralisée, vous devez personnaliser les paramètres de contrôle séparément dans chaque compte et région.
Nous vous recommandons d'utiliser une configuration centralisée car elle vous permet d'aligner les valeurs des paramètres de contrôle entre les différentes parties de votre organisation. Par exemple, tous vos comptes de test peuvent utiliser certaines valeurs de paramètres, et tous les comptes de production peuvent utiliser des valeurs différentes.
## Personnalisation des paramètres de contrôle dans plusieurs comptes et régions
Si vous êtes l'administrateur délégué du Security Hub CSPM pour une organisation utilisant une configuration centralisée, choisissez votre méthode préférée et suivez les étapes pour personnaliser les paramètres de contrôle sur plusieurs comptes et régions.
------
#### [ Security Hub CSPM console ]
**Pour personnaliser les valeurs des paramètres de contrôle dans plusieurs comptes et régions (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Assurez-vous d'être connecté à votre région d'origine.
1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.
1. Choisissez l’onglet **Politiques**.
1. Pour créer une nouvelle politique de configuration incluant des paramètres personnalisés, choisissez **Create policy**. Pour spécifier des paramètres personnalisés dans une politique de configuration existante, sélectionnez la stratégie, puis choisissez **Modifier**.
**Pour créer une nouvelle politique de configuration avec des valeurs de paramètres de contrôle personnalisées**
1. Dans la section **Politique personnalisée**, choisissez les normes et contrôles de sécurité que vous souhaitez activer.
1. Sélectionnez **Personnaliser les paramètres de contrôle**.
1. Sélectionnez un contrôle, puis spécifiez des valeurs personnalisées pour un ou plusieurs paramètres.
1. Pour personnaliser les paramètres d'autres contrôles, choisissez **Personnaliser le contrôle supplémentaire**.
1. Dans la section **Comptes**, sélectionnez les comptes OUs auxquels vous souhaitez appliquer la politique.
1. Choisissez **Suivant**.
1. Choisissez **Créer une politique et appliquez**. Dans votre région d'origine et dans toutes les régions associées, cette action remplace les paramètres de configuration existants des OUs comptes associés à cette politique de configuration. Les comptes OUs peuvent être associés à une politique de configuration par le biais d'une application directe ou d'un héritage d'un parent.
**Pour personnaliser les valeurs des paramètres de contrôle dans une politique de configuration existante**
1. Dans la section **Contrôles**, sous **Politique personnalisée**, spécifiez les nouvelles valeurs de paramètres personnalisés que vous souhaitez.
1. Si c'est la première fois que vous personnalisez les paramètres de contrôle dans cette politique, sélectionnez **Personnaliser les paramètres de contrôle**, puis sélectionnez un contrôle à personnaliser. Pour personnaliser les paramètres d'autres contrôles, choisissez **Personnaliser le contrôle supplémentaire**.
1. Dans la section **Comptes**, vérifiez les comptes OUs auxquels vous souhaitez appliquer la politique.
1. Choisissez **Suivant**.
1. Vérifiez vos modifications et vérifiez qu'elles sont correctes. Lorsque vous avez terminé, choisissez **Enregistrer la politique et appliquez**. Dans votre région d'origine et dans toutes les régions associées, cette action remplace les paramètres de configuration existants des OUs comptes associés à cette politique de configuration. Les comptes OUs peuvent être associés à une politique de configuration par le biais d'une application directe ou d'un héritage d'un parent.
------
#### [ Security Hub CSPM API ]
**Pour personnaliser les valeurs des paramètres de contrôle dans plusieurs comptes et régions (API)**
**Pour créer une nouvelle politique de configuration avec des valeurs de paramètres de contrôle personnalisées**
1. Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API depuis le compte d'administrateur délégué de la région d'origine.
1. Pour l'`SecurityControlCustomParameters`objet, indiquez l'identifiant de chaque contrôle que vous souhaitez personnaliser.
1. Pour l'`Parameters`objet, indiquez le nom de chaque paramètre que vous souhaitez personnaliser. Pour chaque paramètre que vous personnalisez, `CUSTOM` indiquez`ValueType`. Pour`Value`, indiquez le type de données du paramètre et la valeur personnalisée. Le `Value` champ ne peut pas être vide alors qu'il l'`ValueType`est`CUSTOM`. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle. Vous pouvez trouver les paramètres pris en charge, les types de données et les valeurs valides pour un contrôle en appelant l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.
**Pour personnaliser les valeurs des paramètres de contrôle dans une politique de configuration existante**
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API depuis le compte d'administrateur délégué de la région d'origine.
1. Pour le `Identifier` champ, indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.
1. Pour l'`SecurityControlCustomParameters`objet, indiquez l'identifiant de chaque contrôle que vous souhaitez personnaliser.
1. Pour l'`Parameters`objet, indiquez le nom de chaque paramètre que vous souhaitez personnaliser. Pour chaque paramètre que vous personnalisez, `CUSTOM` indiquez`ValueType`. Pour`Value`, indiquez le type de données du paramètre et la valeur personnalisée. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle. Vous pouvez trouver les paramètres pris en charge, les types de données et les valeurs valides pour un contrôle en appelant l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.
Par exemple, la AWS CLI commande suivante crée une nouvelle politique de configuration avec une valeur personnalisée pour le `daysToExpiration` paramètre de`ACM.1`. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```
------
## Personnalisation des paramètres de contrôle dans un seul compte et une seule région
Si vous n'utilisez pas la configuration centralisée ou si vous ne possédez pas de compte autogéré, vous pouvez personnaliser les paramètres de contrôle de votre compte dans une seule région à la fois.
Choisissez votre méthode préférée et suivez les étapes pour personnaliser les paramètres de contrôle. Vos modifications s'appliquent uniquement à votre compte dans la région actuelle. Pour personnaliser les paramètres de contrôle dans des régions supplémentaires, répétez les étapes suivantes pour chaque compte et région supplémentaires dans lesquels vous souhaitez personnaliser les paramètres. Le même contrôle peut utiliser différentes valeurs de paramètres dans différentes régions.
------
#### [ Security Hub CSPM console ]
**Pour personnaliser les valeurs des paramètres de contrôle dans un compte et une région (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Controls**. Dans le tableau, choisissez un contrôle qui prend en charge les paramètres personnalisés dont vous souhaitez modifier les paramètres. La colonne **Paramètres personnalisés** indique quels contrôles prennent en charge les paramètres personnalisés.
1. Sur la page de détails du contrôle, cliquez sur l'onglet **Paramètres**, puis sur **Modifier**.
1. Spécifiez les valeurs de paramètres souhaitées.
1. Dans la section **Motif du changement**, sélectionnez éventuellement un motif pour personnaliser les paramètres.
1. Choisissez **Enregistrer**.
------
#### [ Security Hub CSPM API ]
**Pour personnaliser les valeurs des paramètres de contrôle dans un compte et une région (API)**
1. Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.
1. Pour`SecurityControlId`, indiquez l'ID du contrôle que vous souhaitez personnaliser.
1. Pour l'`Parameters`objet, indiquez le nom de chaque paramètre que vous souhaitez personnaliser. Pour chaque paramètre que vous personnalisez, `CUSTOM` indiquez`ValueType`. Pour`Value`, indiquez le type de données du paramètre et la valeur personnalisée. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle. Vous pouvez trouver les paramètres pris en charge, les types de données et les valeurs valides pour un contrôle en appelant l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.
1. Facultativement, pour`LastUpdateReason`, indiquez le motif de la personnalisation des paramètres de contrôle.
Par exemple, la AWS CLI commande suivante définit une valeur personnalisée pour le `daysToExpiration` paramètre de`ACM.1`. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```
------
# Revenir aux valeurs des paramètres de contrôle par défaut
Un paramètre de contrôle peut avoir une valeur par défaut définie par AWS Security Hub CSPM. Security Hub CSPM met parfois à jour la valeur par défaut d'un paramètre afin de refléter l'évolution des meilleures pratiques en matière de sécurité. Si vous n'avez pas spécifié de valeur personnalisée pour un paramètre de contrôle, le contrôle suit automatiquement ces mises à jour et utilise la nouvelle valeur par défaut.
Vous pouvez revenir à l'utilisation des valeurs de paramètres par défaut pour un contrôle. Les instructions de réversion varient selon que vous utilisez ou non la [configuration centralisée](central-configuration-intro.md) dans Security Hub CSPM. La configuration centralisée est une fonctionnalité que l'administrateur délégué du Security Hub CSPM peut utiliser pour configurer les fonctionnalités du Security Hub CSPM sur les comptes et Régions AWS les unités organisationnelles (). OUs
**Note**
Tous les paramètres de contrôle n'ont pas de valeur Security Hub CSPM par défaut. Dans de tels cas, lorsque `ValueType` ce paramètre est défini sur`DEFAULT`, Security Hub CSPM n'utilise aucune valeur par défaut spécifique. Security Hub CSPM ignore plutôt le paramètre en l'absence de valeur personnalisée.
## Revenir aux paramètres de contrôle par défaut dans plusieurs comptes et régions
Si vous utilisez la configuration centralisée, vous pouvez rétablir les paramètres de contrôle pour plusieurs comptes gérés de manière centralisée, ainsi que OUs dans la région d'origine et les régions associées.
Choisissez votre méthode préférée et suivez les étapes pour revenir aux valeurs des paramètres par défaut sur plusieurs comptes et régions à l'aide de la configuration centrale.
------
#### [ Security Hub CSPM console ]
**Pour revenir aux valeurs des paramètres de contrôle par défaut dans plusieurs comptes et régions (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.
1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.
1. Choisissez l’onglet **Politiques**.
1. Sélectionnez une politique, puis choisissez **Modifier**.
1. Sous **Politique personnalisée**, la section **Contrôles** affiche la liste des contrôles pour lesquels vous avez spécifié des paramètres personnalisés.
1. Trouvez le contrôle dont une ou plusieurs valeurs de paramètres doivent être annulées. Choisissez ensuite **Supprimer** pour revenir aux valeurs par défaut.
1. Dans la section **Comptes**, vérifiez les comptes OUs auxquels vous souhaitez appliquer la politique.
1. Choisissez **Suivant**.
1. Vérifiez vos modifications et vérifiez qu'elles sont correctes. Lorsque vous avez terminé, choisissez **Enregistrer la politique et appliquez**. Dans votre région d'origine et dans toutes les régions associées, cette action remplace les paramètres de configuration existants des OUs comptes associés à cette politique de configuration. Les comptes OUs peuvent être associés à une politique de configuration par le biais d'une application directe ou d'un héritage d'un parent.
------
#### [ Security Hub CSPM API ]
**Pour revenir aux valeurs des paramètres de contrôle par défaut dans plusieurs comptes et régions (API)**
1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API depuis le compte d'administrateur délégué de la région d'origine.
1. Pour le `Identifier` champ, indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique que vous souhaitez mettre à jour.
1. Pour l'`SecurityControlCustomParameters`objet, indiquez l'identifiant de chaque contrôle pour lequel vous souhaitez rétablir un ou plusieurs paramètres.
1. Dans l'`Parameters`objet, pour chaque paramètre que vous souhaitez rétablir, indiquez `DEFAULT` le `ValueType` champ. Lorsque `ValueType` ce paramètre est défini sur`DEFAULT`, il n'est pas nécessaire de fournir de valeur pour le `Value` champ. Si une valeur est incluse dans votre demande, Security Hub CSPM l'ignore. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle.
**Avertissement**
Si vous omettez un objet de contrôle `SecurityControlCustomParameters` dans le champ, Security Hub CSPM rétablit les valeurs par défaut de tous les paramètres personnalisés du contrôle. Une liste complètement vide `SecurityControlCustomParameters` rétablit les paramètres personnalisés de tous les contrôles à leurs valeurs par défaut.
Par exemple, la AWS CLI commande suivante rétablit la valeur par défaut du paramètre de `daysToExpiration` contrôle `ACM.1` pour dans la politique de configuration spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```
------
## Revenir aux paramètres de contrôle par défaut dans un seul compte et une seule région
Si vous n'utilisez pas la configuration centralisée ou si vous ne possédez pas de compte autogéré, vous pouvez revenir à l'utilisation des valeurs de paramètres par défaut pour votre compte dans une région à la fois.
Choisissez votre méthode préférée et suivez les étapes pour revenir aux valeurs des paramètres par défaut pour votre compte dans une seule région. Pour revenir aux valeurs des paramètres par défaut dans des régions supplémentaires, répétez ces étapes dans chaque région supplémentaire.
**Note**
Si vous désactivez Security Hub CSPM, vos paramètres de contrôle personnalisés sont réinitialisés. Si vous réactivez Security Hub CSPM à l'avenir, tous les contrôles utiliseront les valeurs de paramètres par défaut pour démarrer.
------
#### [ Security Hub CSPM console ]
**Pour revenir aux valeurs des paramètres de contrôle par défaut dans un compte et une région (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Controls**. Choisissez le contrôle dont vous souhaitez rétablir les valeurs de paramètres par défaut.
1. `Parameters`Dans l'onglet, choisissez **Personnalisé** à côté d'un paramètre de contrôle. Choisissez ensuite **Supprimer la personnalisation**. Ce paramètre utilise désormais la valeur CSPM par défaut du Security Hub et assure le suivi des futures mises à jour par rapport à cette valeur par défaut.
1. Répétez l'étape précédente pour chaque valeur de paramètre que vous souhaitez rétablir.
------
#### [ Security Hub CSPM API ]
**Pour revenir aux valeurs des paramètres de contrôle par défaut dans un compte et une région (API)**
1. Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.
1. Pour`SecurityControlId`, indiquez l'ARN ou l'ID du contrôle dont vous souhaitez rétablir les paramètres.
1. Dans l'`Parameters`objet, pour chaque paramètre que vous souhaitez rétablir, indiquez `DEFAULT` le `ValueType` champ. Lorsque `ValueType` ce paramètre est défini sur`DEFAULT`, il n'est pas nécessaire de fournir de valeur pour le `Value` champ. Si une valeur est incluse dans votre demande, Security Hub CSPM l'ignore.
1. Facultativement, pour`LastUpdateReason`, fournissez une raison pour revenir aux valeurs des paramètres par défaut.
Par exemple, la AWS CLI commande suivante rétablit la valeur par défaut du paramètre de `daysToExpiration` contrôle `ACM.1` pour. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```
------
# Vérification de l'état des modifications des paramètres de commande
Lorsque vous essayez de personnaliser un paramètre de contrôle ou de revenir à la valeur par défaut, vous pouvez vérifier si les modifications souhaitées ont été effectives. Cela permet de garantir qu'un contrôle fonctionne comme prévu et fournit la valeur de sécurité escomptée. Si la mise à jour d'un paramètre échoue, Security Hub CSPM conserve la valeur actuelle du paramètre.
Pour vérifier qu'une mise à jour des paramètres a réussi, vous pouvez consulter les détails du contrôle sur la console Security Hub CSPM. Sur la console, choisissez **Controls** dans le volet de navigation. Choisissez ensuite un contrôle pour afficher ses détails. L'onglet **Paramètres** indique l'état de la modification des paramètres.
Par programmation, si votre demande de mise à jour d'un paramètre est valide, la valeur du `UpdateStatus` champ se trouve `UPDATING` dans une réponse à l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)opération. Cela signifie que la mise à jour était valide, mais il est possible que tous les résultats n'incluent pas encore les valeurs de paramètres mises à jour. Lorsque la valeur de `UpdateState` change`READY`, Security Hub CSPM utilise les valeurs des paramètres de contrôle mises à jour lors de l'exécution des contrôles de sécurité du contrôle. Les résultats incluent les valeurs des paramètres mises à jour.
L'`UpdateSecurityControl`opération renvoie une `InvalidInputException` réponse pour les valeurs de paramètres non valides. La réponse fournit des détails supplémentaires sur la raison de l'échec. Par exemple, vous avez peut-être spécifié une valeur située en dehors de la plage valide pour un paramètre. Il se peut également que vous ayez spécifié une valeur qui n'utilise pas le type de données correct. Soumettez à nouveau votre demande avec des données valides.
En cas de défaillance interne lorsque vous essayez de mettre à jour la valeur d'un paramètre, Security Hub CSPM réessaie automatiquement si vous l'avez activé. AWS Config Pour de plus amples informations, veuillez consulter [Considérations avant l'activation et la configuration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).
# Examen et gestion des résultats des contrôles dans Security Hub CSPM
La page des détails du contrôle affiche la liste des résultats actifs pour un contrôle. La liste n'inclut pas les résultats archivés.
La page des détails du contrôle prend en charge l'agrégation entre régions. Si vous avez défini une région d'agrégation, l'état du contrôle et la liste des contrôles de sécurité figurant sur la page des détails du contrôle incluent les contrôles provenant de tous les liens Régions AWS.
La liste fournit des outils permettant de filtrer et de trier les résultats, afin que vous puissiez d'abord vous concentrer sur les résultats les plus urgents. Une constatation peut inclure des liens vers des informations détaillées sur les ressources dans la console de service correspondante. Pour les contrôles basés sur des AWS Config règles, vous pouvez consulter les détails de la règle.
Vous pouvez également utiliser l'API AWS Security Hub CSPM pour récupérer une liste des résultats et des détails des recherches.
Pour de plus amples informations, veuillez consulter [Révision des détails des recherches et de l'historique](securityhub-findings-viewing.md#finding-view-details-console).
Pour refléter l'état actuel de votre enquête sur un résultat de contrôle, vous définissez le statut du flux de travail. Pour de plus amples informations, veuillez consulter [Configuration de l'état des résultats du flux de travail dans Security Hub CSPM](findings-workflow-status.md).
Vous pouvez également envoyer les résultats CSPM sélectionnés du Security Hub à une action personnalisée sur Amazon. EventBridge Pour de plus amples informations, veuillez consulter [Envoi des résultats à une action Security Hub CSPM personnalisée](findings-custom-action.md).
**Topics**
+ [Résultats des contrôles de filtrage et de tri](control-finding-list.md)
+ [Échantillons de résultats de contrôle](sample-control-findings.md)
# Résultats des contrôles de filtrage et de tri
La sélection d'un contrôle sur la page **Contrôles** de la console AWS Security Hub CSPM ou sur la page de détails d'une norme vous amène à la page des détails du contrôle.
La page des détails du contrôle indique le titre et la description du contrôle, l'état général du contrôle, ainsi qu'une liste des vérifications de sécurité effectuées pour le contrôle au cours des dernières 24 heures.
Utilisez les options **Filtrer par** situées à côté de la liste de contrôle pour vous concentrer rapidement sur les résultats présentant un statut de [flux de travail ou un statut](findings-workflow-status.md) de [conformité](controls-overall-status.md#controls-overall-status-compliance-status) spécifique.
Outre les options **Filtrer par**, vous pouvez utiliser la case **Ajouter un filtre** pour filtrer la liste de contrôle en fonction d'autres champs, tels que l' Compte AWS ID ou l'ID de ressource.
Par défaut, les résultats dont le statut de conformité **est PASSED** sont répertoriés en premier. Vous pouvez modifier le tri par défaut en choisissant une autre option dans les en-têtes de colonne.
Sur la page des détails du contrôle, vous pouvez choisir **Télécharger** pour télécharger la page actuelle des résultats du contrôle dans un fichier .csv.
Si vous filtrez la liste de recherche, le téléchargement inclut uniquement les commandes correspondant au filtre. Si vous sélectionnez des résultats spécifiques dans la liste, le téléchargement inclut uniquement les résultats sélectionnés.
Pour plus d'informations sur le filtrage des résultats, consultez[Filtrer les résultats dans Security Hub CSPM](securityhub-findings-manage.md).
# Échantillons de résultats de contrôle
Les exemples suivants fournissent des exemples de résultats de contrôle CSPM de AWS Security Hub au format ASFF ( AWS Security Finding Format). Le contenu des résultats de contrôle varie selon que vous avez activé ou non les résultats de contrôle consolidés.
Si vous activez les résultats de contrôle consolidés, Security Hub CSPM génère un résultat unique pour un contrôle, même si le contrôle s'applique à plusieurs normes activées. Si vous n'activez pas cette fonctionnalité, Security Hub CSPM génère un résultat de contrôle distinct pour chaque norme activée à laquelle s'applique un contrôle. Par exemple, si vous activez deux normes et qu'un contrôle s'applique aux deux, vous recevez deux résultats distincts pour le contrôle, un pour chaque norme. Si vous activez les résultats de contrôle consolidés, vous ne recevez qu'un seul résultat pour le contrôle. Pour de plus amples informations, veuillez consulter [Conclusions de contrôle consolidées](controls-findings-create-update.md#consolidated-control-findings).
Les exemples présentés sur cette page fournissent des exemples pour les deux scénarios. Les exemples incluent : les résultats de contrôle pour les différentes normes CSPM de Security Hub lorsque les résultats de contrôle consolidés sont désactivés, et un résultat de contrôle pour plusieurs normes CSPM de Security Hub lorsque les résultats de contrôle consolidés sont activés.
**Topics**
+ [Exemple de recherche pour la norme des meilleures pratiques de sécurité AWS fondamentales](#sample-finding-fsbp)
+ [Recherche d'échantillons pour CIS AWS Foundations Benchmark v5.0.0](#sample-finding-cis-5)
+ [Recherche d'échantillons pour CIS AWS Foundations Benchmark v3.0.0](#sample-finding-cis-3)
+ [Recherche d'échantillons pour CIS AWS Foundations Benchmark v1.4.0](#sample-finding-cis-1.4)
+ [Exemple de recherche pour CIS AWS Foundations Benchmark v1.2.0](#sample-finding-cis-1.2)
+ [Recherche d'échantillons pour la norme NIST SP 800-53 Revision 5](#sample-finding-nist-800-53)
+ [Recherche d'échantillons pour la norme NIST SP 800-171 Revision 2](#sample-finding-nist-800-171)
+ [Exemple de recherche pour la norme de sécurité des données de l'industrie des cartes de paiement v3.2.1](#sample-finding-pcidss-v321)
+ [Exemple de recherche pour la norme de balisage AWS des ressources](#sample-finding-tagging)
+ [Recherche d'échantillons pour la norme de AWS Control Tower gestion des services](#sample-finding-service-managed-aws-control-tower)
+ [Exemple de résultats consolidés pour plusieurs normes](#sample-finding-consolidation)
**Note**
Les résultats des contrôles font référence à différents champs et valeurs dans les régions de Chine et les AWS GovCloud (US) régions. Pour de plus amples informations, veuillez consulter [Impact de la consolidation sur les domaines et les valeurs d'ASFF](asff-changes-consolidation.md).
## Exemple de recherche pour la norme des meilleures pratiques de sécurité AWS fondamentales
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à la norme AWS Foundational Security Best Practices (FSBP). Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-2",
"GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
],
"FirstObservedAt": "2020-08-06T02:18:23.076Z",
"LastObservedAt": "2021-09-28T16:10:06.956Z",
"CreatedAt": "2020-08-06T02:18:23.076Z",
"UpdatedAt": "2021-09-28T16:10:00.093Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0",
"ControlId": "CloudTrail.2",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"Related AWS Resources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-2"
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "standards/aws-foundation-best-practices/v/1.0.0"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
]
}
}
```
## Recherche d'échantillons pour CIS AWS Foundations Benchmark v5.0.0
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à CIS AWS Foundations Benchmark v5.0.0. Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"AwsAccountId": "123456789012",
"CompanyName": "AWS",
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "EC2.7",
"RelatedRequirements": [
"CIS AWS Foundations Benchmark v5.0.0/5.1.1"
],
"AssociatedStandards": [
{
"StandardsId": "standards/cis-aws-foundations-benchmark/v/5.0.0"
}
]
},
"CreatedAt": "2025-10-10T17:04:00.952Z",
"Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
"FindingProviderFields": {
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"Severity": {
"Normalized": 40,
"Label": "MEDIUM",
"Product": 40,
"Original": "MEDIUM"
}
},
"FirstObservedAt": "2025-10-10T17:03:57.895Z",
"GeneratorId": "cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
"LastObservedAt": "2025-10-14T05:22:28.667Z",
"ProcessedAt": "2025-10-14T05:22:50.099Z",
"ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/5.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0",
"ControlId": "5.1.1",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
"RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2a99554f",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
"Resources:0/Id": "arn:aws:iam::123456789012:root",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
"PreviousComplianceStatus": "FAILED"
},
"ProductName": "Security Hub CSPM",
"RecordState": "ACTIVE",
"Region": "us-west-1",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
}
},
"Resources": [
{
"Id": "AWS::::Account:123456789012",
"Partition": "aws",
"Region": "us-west-1",
"Type": "AwsAccount"
}
],
"SchemaVersion": "2018-10-08",
"Severity": {
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM",
"Product": 40
},
"Title": "5.1.1 EBS default encryption should be enabled",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"UpdatedAt": "2025-10-14T05:22:38.671Z",
"Workflow": {
"Status": "NEW"
},
"WorkflowState": "NEW"
}
```
## Recherche d'échantillons pour CIS AWS Foundations Benchmark v3.0.0
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à CIS AWS Foundations Benchmark v3.0.0. Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"FirstObservedAt": "2024-04-18T07:46:18.193Z",
"LastObservedAt": "2024-04-23T07:47:01.137Z",
"CreatedAt": "2024-04-18T07:46:18.193Z",
"UpdatedAt": "2024-04-23T07:46:46.165Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "2.2.1 EBS default encryption should be enabled",
"Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0",
"ControlId": "2.2.1",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
"RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2843ed9e",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
"Resources:0/Id": "arn:aws:iam::123456789012:root",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c"
},
"Resources": [
{
"Type": "AwsAccount",
"Id": "AWS::::Account:123456789012",
"Partition": "aws",
"Region": "us-east-1"
}
],
"Compliance": {
"Status": "FAILED",
"RelatedRequirements": [
"CIS AWS Foundations Benchmark v3.0.0/2.2.1"
],
"SecurityControlId": "EC2.7",
"AssociatedStandards": [
{
"StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"
}
]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
]
},
"ProcessedAt": "2024-04-23T07:47:07.088Z"
}
```
## Recherche d'échantillons pour CIS AWS Foundations Benchmark v1.4.0
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à CIS AWS Foundations Benchmark v1.4.0. Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "cis-aws-foundations-benchmark/v/1.4.0/3.7",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"FirstObservedAt": "2022-10-21T22:14:48.913Z",
"LastObservedAt": "2022-12-22T22:24:56.980Z",
"CreatedAt": "2022-10-21T22:14:48.913Z",
"UpdatedAt": "2022-12-22T22:24:52.409Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "3.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
"Description": "AWS CloudTrail is a web service that records AWS API calls for an account and makes those logs available to users and resources in accordance with IAM policies. AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and AWS KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0",
"ControlId": "3.7",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-855f82d1",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/1.4.0/3.7",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-1"
}
],
"Compliance": {
"Status": "FAILED",
"RelatedRequirements": [
"CIS AWS Foundations Benchmark v1.4.0/3.7"
],
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
]
}
}
```
## Exemple de recherche pour CIS AWS Foundations Benchmark v1.2.0
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à CIS AWS Foundations Benchmark v1.2.0. Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-2",
"GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"FirstObservedAt": "2020-08-29T04:10:06.337Z",
"LastObservedAt": "2021-09-28T16:10:05.350Z",
"CreatedAt": "2020-08-29T04:10:06.337Z",
"UpdatedAt": "2021-09-28T16:10:00.087Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
"Description": "AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
"StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
"RuleId": "2.7",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"Related AWS Resources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/2.7",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-2"
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
]
}
}
```
## Recherche d'échantillons pour la norme NIST SP 800-53 Revision 5
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à la norme NIST SP 800-53 Revision 5. Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "nist-800-53/v/5.0.0/CloudTrail.2",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2023-02-17T14:22:46.726Z",
"LastObservedAt": "2023-02-17T14:22:50.846Z",
"CreatedAt": "2023-02-17T14:22:46.726Z",
"UpdatedAt": "2023-02-17T14:22:46.726Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to fix this issue, consult the AWS Security Hub CSPM NIST 800-53 R5 documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/nist-800-53/v/5.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0",
"ControlId": "CloudTrail.2",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.9/remediation",
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-1"
}
],
"Compliance": {
"Status": "FAILED",
"RelatedRequirements": [
"NIST.800-53.r5 AU-9",
"NIST.800-53.r5 CA-9(1)",
"NIST.800-53.r5 CM-3(6)",
"NIST.800-53.r5 SC-13",
"NIST.800-53.r5 SC-28",
"NIST.800-53.r5 SC-28(1)",
"NIST.800-53.r5 SC-7(10)",
"NIST.800-53.r5 SI-7(6)"
],
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [
{
"StandardsId": "standards/nist-800-53/v/5.0.0"
}
]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
]
},
"ProcessedAt": "2023-02-17T14:22:53.572Z"
}
```
## Recherche d'échantillons pour la norme NIST SP 800-171 Revision 2
L'exemple suivant fournit un exemple de recherche pour un contrôle qui s'applique à la norme NIST SP 800-171 Revision 2. Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "nist-800-171/v/2.0.0/CloudTrail.2",
"AwsAccountId": "123456789012",
"AwsAccountName": "TestAcct",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2025-05-29T05:23:58.690Z",
"LastObservedAt": "2025-05-30T05:50:11.898Z",
"CreatedAt": "2025-05-29T05:24:24.772Z",
"UpdatedAt": "2025-05-30T05:50:34.292Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/nist-800-171/v/2.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0",
"ControlId": "CloudTrail.2",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-0ab1c2d4",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/nist-800-171/v/2.0.0/CloudTrail.2",
"aws/securityhub/ProductName": "Security Hub",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
"Partition": "aws",
"Region": "us-east-1",
"Type": "AwsCloudTrailTrail"
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"RelatedRequirements": [
"NIST.800-171.r2/3.3.8"
],
"AssociatedStandards": [
{
"StandardsId": "standards/nist-800-171/v/2.0.0"
}
]
},
"Workflow": {
"Status": "NEW"
},
"WorkflowState": "NEW",
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
}
},
"ProcessedAt": "2025-05-30T05:50:40.297Z"
}
```
## Exemple de recherche pour la norme de sécurité des données de l'industrie des cartes de paiement v3.2.1
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) v3.2.1. Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-2",
"GeneratorId": "pci-dss/v/3.2.1/PCI.CloudTrail.1",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
],
"FirstObservedAt": "2020-08-06T02:18:23.089Z",
"LastObservedAt": "2021-09-28T16:10:06.942Z",
"CreatedAt": "2020-08-06T02:18:23.089Z",
"UpdatedAt": "2021-09-28T16:10:00.090Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "PCI.CloudTrail.1 CloudTrail logs should be encrypted at rest using AWS KMS CMKs",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption by checking if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1",
"ControlId": "PCI.CloudTrail.1",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"Related AWS Resources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/pci-dss/v/3.2.1/PCI.CloudTrail.1",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-2"
}
],
"Compliance": {
"Status": "FAILED",
"RelatedRequirements": [
"PCI DSS 3.4"
],
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "standards/pci-dss/v/3.2.1"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
]
}
}
```
## Exemple de recherche pour la norme de balisage AWS des ressources
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à la norme AWS Resource Tagging. Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "eu-central-1",
"GeneratorId": "security-control/EC2.44",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2024-02-19T21:00:32.206Z",
"LastObservedAt": "2024-04-29T13:01:57.861Z",
"CreatedAt": "2024-02-19T21:00:32.206Z",
"UpdatedAt": "2024-04-29T13:01:41.242Z",
"Severity": {
"Label": "LOW",
"Normalized": 1,
"Original": "LOW"
},
"Title": "EC2 subnets should be tagged",
"Description": "This control checks whether an Amazon EC2 subnet has tags with the specific keys defined in the parameter requiredTagKeys. The control fails if the subnet doesn't have any tag keys or if it doesn't have all the keys specified in the parameter requiredTagKeys. If the parameter requiredTagKeys isn't provided, the control only checks for the existence of a tag key and fails if the subnet isn't tagged with any key. System tags, which are automatically applied and begin with aws:, are ignored.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/EC2.44/remediation"
}
},
"ProductFields": {
"RelatedAWSResources:0/name": "securityhub-tagged-ec2-subnet-6ceafede",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"aws/securityhub/annotation": "No tags are present.",
"Resources:0/Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsEc2Subnet",
"Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
"Partition": "aws",
"Region": "eu-central-1",
"Details": {
"AwsEc2Subnet": {
"AssignIpv6AddressOnCreation": false,
"AvailabilityZone": "eu-central-1b",
"AvailabilityZoneId": "euc1-az3",
"AvailableIpAddressCount": 4091,
"CidrBlock": "10.24.34.0/23",
"DefaultForAz": true,
"MapPublicIpOnLaunch": true,
"OwnerId": "123456789012",
"State": "available",
"SubnetArn": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
"SubnetId": "subnet-1234567890abcdef0",
"VpcId": "vpc-021345abcdef6789"
}
}
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "EC2.44",
"AssociatedStandards": [
{
"StandardsId": "standards/aws-resource-tagging-standard/v/1.0.0"
}
],
"SecurityControlParameters": [
{
"Name": "requiredTagKeys",
"Value": [
"peepoo"
]
}
],
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "LOW",
"Original": "LOW"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
]
},
"ProcessedAt": "2024-04-29T13:02:03.259Z"
}
```
## Recherche d'échantillons pour la norme de AWS Control Tower gestion des services
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à la norme de AWS Control Tower gestion des services. Dans cet exemple, les résultats de contrôle consolidés sont désactivés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2022-11-17T01:25:30.296Z",
"LastObservedAt": "2022-11-17T01:25:45.805Z",
"CreatedAt": "2022-11-17T01:25:30.296Z",
"UpdatedAt": "2022-11-17T01:25:30.296Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CT.CloudTrail.2 CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0",
"ControlId": "CT.CloudTrail.2",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWSMacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsAccount",
"Id": "AWS::::Account:123456789012",
"Partition": "aws",
"Region": "us-east-1"
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
]
}
}
```
## Exemple de résultats consolidés pour plusieurs normes
L'exemple suivant fournit un exemple de résultat pour un contrôle qui s'applique à plusieurs normes activées. Dans cet exemple, les résultats de contrôle consolidés sont activés.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "security-control/CloudTrail.2",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2024-08-09T14:57:04.521Z",
"LastObservedAt": "2025-05-30T03:30:17.407Z",
"CreatedAt": "2024-08-09T14:57:04.521Z",
"UpdatedAt": "2025-05-30T03:30:32.781Z",
"Severity": {
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-01a2b345",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"aws/securityhub/ProductName": "Security Hub",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsCloudTrailTrail": {
"HasCustomEventSelectors": false,
"IncludeGlobalServiceEvents": true,
"LogFileValidationEnabled": true,
"HomeRegion": "us-east-1",
"IsMultiRegionTrail": true,
"S3BucketName": "cloudtrail-awslogs-do-not-delete",
"IsOrganizationTrail": false,
"Name": "TestTrail-DO-NOT-DELETE"
}
}
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"RelatedRequirements": [
"CIS AWS Foundations Benchmark v1.2.0/2.7",
"CIS AWS Foundations Benchmark v1.4.0/3.7",
"CIS AWS Foundations Benchmark v3.0.0/3.5",
"NIST.800-171.r2/3.3.8",
"PCI DSS v3.2.1/3.4",
"PCI DSS v4.0.1/10.3.2"
],
"AssociatedStandards": [
{ "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
{ "StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
{ "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"},
{ "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"},
{ "StandardsId": "standards/nist-800-171/v/2.0.0"},
{ "StandardsId": "standards/pci-dss/v/3.2.1"},
{ "StandardsId": "standards/pci-dss/v/4.0.1"}
]
},
"Workflow": {
"Status": "NEW"
},
"WorkflowState": "NEW",
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"Severity": {
"Normalized": 40,
"Label": "MEDIUM",
"Original": "MEDIUM"
}
},
"ProcessedAt": "2025-05-30T03:31:00.831Z"
}
```
# Comprendre les intégrations dans Security Hub CSPM
AWS Security Hub CSPM peut ingérer les résultats de sécurité provenant de plusieurs Services AWS solutions de sécurité tierces AWS Partner Network prises en charge. Ces intégrations peuvent vous aider à obtenir une vue complète de la sécurité et de la conformité dans l'ensemble de votre AWS environnement. Security Hub CSPM ingère les résultats des solutions intégrées et les convertit au format ASFF ( AWS Security Finding Format).
**Important**
Pour les intégrations de produits pris en charge AWS et tiers, Security Hub CSPM reçoit et consolide les résultats générés uniquement une fois que vous avez activé Security Hub CSPM pour votre. Comptes AWS Le service ne reçoit ni ne consolide rétroactivement les résultats de sécurité générés avant que vous n'activiez Security Hub CSPM.
La page **Intégrations** de la console Security Hub CSPM permet d'accéder aux intégrations de produits disponibles AWS et tiers. L'API Security Hub CSPM permet également de gérer les intégrations.
Il se peut qu'une intégration ne soit pas disponible du tout Régions AWS. Si une intégration n'est pas prise en charge dans la région à laquelle vous êtes actuellement connecté sur la console Security Hub CSPM, elle n'apparaît pas sur la page **Intégrations** de la console. Pour obtenir la liste des intégrations disponibles dans les régions de Chine AWS GovCloud (US) Regions, voir[Disponibilité des intégrations par région](securityhub-regions.md#securityhub-regions-integration-support).
Outre les Service AWS intégrations tierces intégrées, vous pouvez intégrer des produits de sécurité personnalisés à Security Hub CSPM. Vous pouvez ensuite envoyer les résultats de ces produits à Security Hub CSPM à l'aide de l'API Security Hub CSPM. Vous pouvez également utiliser l'API pour mettre à jour les résultats existants que Security Hub CSPM a reçus d'un produit de sécurité personnalisé.
**Topics**
+ [Révision d'une liste des intégrations CSPM de Security Hub](securityhub-integrations-view-filter.md)
+ [Permettre le flux de résultats à partir d'une intégration CSPM avec Security Hub](securityhub-integration-enable.md)
+ [Désactivation du flux de résultats provenant d'une intégration CSPM de Security Hub](securityhub-integration-disable.md)
+ [Afficher les résultats d'une intégration avec Security Hub CSPM](securityhub-integration-view-findings.md)
+ [Service AWS intégrations avec Security Hub CSPM](securityhub-internal-providers.md)
+ [Intégrations de produits tiers avec Security Hub CSPM](securityhub-partner-providers.md)
+ [Intégration de Security Hub CSPM à des produits personnalisés](securityhub-custom-providers.md)
# Révision d'une liste des intégrations CSPM de Security Hub
Choisissez votre méthode préférée et suivez les étapes pour consulter la liste des intégrations dans AWS Security Hub CSPM ou les détails d'une intégration spécifique.
------
#### [ Security Hub CSPM console ]
**Pour consulter les options et les détails de l'intégration (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Dans le volet de navigation Security Hub CSPM, sélectionnez Integrations.**
Sur la page **Intégrations**, les intégrations avec d'autres produits Services AWS sont répertoriées en premier, suivies des intégrations avec des produits tiers.
Pour chaque intégration, la page **Intégrations** fournit les informations suivantes :
+ Nom de la société.
+ Nom du produit.
+ Description de l'intégration.
+ Catégories auxquelles l'intégration s'applique.
+ Comment activer l'intégration.
+ État actuel de l'intégration.
Vous pouvez filtrer la liste en saisissant du texte dans les champs suivants :
+ Nom de la société
+ Nom du produit
+ Description de l'intégration
+ Catégories
------
#### [ Security Hub CSPM API ]
**Pour consulter les options et les détails de l'intégration (API)**
Pour obtenir la liste des intégrations, utilisez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)opération. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html)commande.
Pour récupérer les détails d'une intégration de produit spécifique, utilisez le `ProductArn` paramètre pour spécifier le nom de ressource Amazon (ARN) de l'intégration.
Par exemple, la AWS CLI commande suivante permet de récupérer des informations sur l'intégration de Security Hub CSPM avec 3. CORESec
```
$ aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"
```
------
# Permettre le flux de résultats à partir d'une intégration CSPM avec Security Hub
Sur la page **Intégrations** de la console AWS Security Hub CSPM, vous pouvez voir les étapes requises pour activer chaque intégration.
Pour la plupart des intégrations avec d'autres services Services AWS, la seule étape requise pour activer l'intégration est d'activer l'autre service. Les informations d'intégration incluent un lien vers la page d'accueil de l'autre service. Lorsque vous activez l'autre service, une autorisation au niveau des ressources qui permet à Security Hub CSPM de recevoir les résultats du service est automatiquement créée et appliquée.
Pour les intégrations de produits tiers, vous devrez peut-être acheter l'intégration auprès du AWS Marketplace, puis la configurer. Les informations d'intégration fournissent des liens permettant d'effectuer ces tâches.
Si plusieurs versions d'un produit sont disponibles dans AWS Marketplace, sélectionnez la version à laquelle vous souhaitez vous abonner, puis choisissez **Continuer à vous abonner**. Par exemple, certains produits proposent une version standard et une AWS GovCloud (US) version.
Lorsque vous activez l'intégration d'un produit, une stratégie de ressources est automatiquement attachée à l'abonnement de ce produit. Cette politique de ressources définit les autorisations dont Security Hub CSPM a besoin pour recevoir les résultats de ce produit.
Une fois que vous avez effectué les étapes préliminaires pour activer une intégration, vous pouvez désactiver et réactiver le flux des résultats issus de cette intégration. Sur la page **Intégrations**, pour les intégrations qui envoient des résultats, les informations de **statut** indiquent si vous acceptez actuellement les résultats.
------
#### [ Security Hub CSPM console ]
**Pour permettre le flux des résultats d'une intégration (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Dans le volet de navigation Security Hub CSPM, sélectionnez Integrations.**
1. Pour les intégrations qui envoient des résultats, les informations de **statut** indiquent si Security Hub CSPM accepte actuellement les résultats de cette intégration.
1. Choisissez **Accepter les résultats**.
------
#### [ Security Hub CSPM API ]
Utilisez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html)opération. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html)commande. Pour permettre à Security Hub de recevoir les résultats d'une intégration, vous avez besoin de l'ARN du produit. Pour obtenir les ARNs intégrations disponibles, utilisez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeProducts.html)opération. Si vous utilisez le AWS CLI, lancez le [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html).
Par exemple, la AWS CLI commande suivante permet à Security Hub CSPM de recevoir les résultats de l'intégration CrowdStrike Falçon. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
```
------
# Désactivation du flux de résultats provenant d'une intégration CSPM de Security Hub
Choisissez votre méthode préférée et suivez les étapes pour désactiver le flux de résultats d'une intégration AWS Security Hub CSPM.
------
#### [ Security Hub CSPM console ]
**Pour désactiver le flux des résultats d'une intégration (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Dans le volet de navigation Security Hub CSPM, sélectionnez Integrations.**
1. Pour les intégrations qui envoient des résultats, les informations de **statut** indiquent si Security Hub CSPM accepte actuellement les résultats de cette intégration.
1. Choisissez **Arrêter d'accepter les résultats**.
------
#### [ Security Hub CSPM API ]
Utilisez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html)opération. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html)commande. Pour désactiver le flux de résultats d'une intégration, vous avez besoin de l'ARN d'abonnement correspondant à l'intégration activée. Pour obtenir l'ARN de l'abonnement, utilisez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html)opération. Si vous utilisez le AWS CLI, lancez le [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html).
Par exemple, la AWS CLI commande suivante désactive le flux de résultats vers Security Hub CSPM à partir de l' CrowdStrike intégration Falçon. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
```
------
# Afficher les résultats d'une intégration avec Security Hub CSPM
**Lorsque vous commencez à accepter les résultats d'une intégration AWS Security Hub CSPM, la page **Intégrations** de la console Security Hub CSPM affiche le **statut** de l'intégration sous la forme Acceptation des résultats.** Pour consulter la liste des résultats de l'intégration, sélectionnez **Voir les résultats**.
La liste des résultats affiche les résultats actifs de l'intégration sélectionnée dont l’état du flux de travail est `NEW` ou `NOTIFIED`.
Si vous activez l'agrégation entre régions, dans la région d'agrégation, la liste inclut les résultats de la région d'agrégation et des régions liées dans lesquelles l'intégration est activée. Security Hub n'active pas automatiquement les intégrations basées sur la configuration d'agrégation entre régions.
Dans d'autres régions, la liste des résultats d'une intégration contient uniquement les résultats de la région actuelle.
Pour plus d'informations sur la configuration de l'agrégation entre régions, consultez[Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
Dans la liste des résultats, vous pouvez effectuer les actions suivantes.
+ [Modifier les filtres et le regroupement pour la liste](securityhub-findings-manage.md)
+ [Afficher les détails des résultats individuels](securityhub-findings-viewing.md#finding-view-details-console)
+ [Mettre à jour l'état du flux de travail des résultats](findings-workflow-status.md)
+ [Envoyer les résultats à des actions personnalisées](findings-custom-action.md)
# Service AWS intégrations avec Security Hub CSPM
AWS Security Hub CSPM prend en charge les intégrations avec plusieurs autres. Services AWS Ces intégrations peuvent vous aider à obtenir une vue complète de la sécurité et de la conformité dans l'ensemble de votre AWS environnement.
Sauf indication contraire ci-dessous, Service AWS les intégrations qui envoient des résultats à Security Hub CSPM sont activées automatiquement une fois que vous avez activé Security Hub CSPM et l'autre service. Les intégrations qui reçoivent les résultats du Security Hub CSPM peuvent nécessiter des étapes supplémentaires d'activation. Consultez les informations relatives à chaque intégration pour en savoir plus.
Certaines intégrations ne sont pas toutes Régions AWS disponibles. Sur la console Security Hub CSPM, aucune intégration n'apparaît sur la page **Intégrations** si elle n'est pas prise en charge dans la région actuelle. Pour obtenir la liste des intégrations disponibles dans les régions de Chine AWS GovCloud (US) Regions, voir[Disponibilité des intégrations par région](securityhub-regions.md#securityhub-regions-integration-support).
## Vue d'ensemble des intégrations de AWS services avec Security Hub CSPM
Le tableau suivant fournit une vue d'ensemble des AWS services qui envoient des résultats à Security Hub CSPM ou reçoivent des résultats de Security Hub CSPM.
| AWS Service intégré | Direction |
| --- | --- |
| [AWS Config](#integration-config) | Envoie les résultats |
| [AWS Firewall Manager](#integration-aws-firewall-manager) | Envoie les résultats |
| [Amazon GuardDuty](#integration-amazon-guardduty) | Envoie les résultats |
| [AWS Health](#integration-health) | Envoie les résultats |
| [AWS Identity and Access Management Access Analyzer](#integration-iam-access-analyzer) | Envoie les résultats |
| [Amazon Inspector](#integration-amazon-inspector) | Envoie les résultats |
| [AWS IoT Device Defender](#integration-iot-device-defender) | Envoie les résultats |
| [Amazon Macie](#integration-amazon-macie) | Envoie les résultats |
| [Amazon Route 53 Resolver Pare-feu DNS](#integration-amazon-r53rdnsfirewall) | Envoie les résultats |
| [AWS Systems Manager Gestionnaire de correctifs](#patch-manager) | Envoie les résultats |
| [AWS Audit Manager](#integration-aws-audit-manager) | Reçoit les résultats |
| [Amazon Q Developer dans les applications de chat](#integration-chatbot) | Reçoit les résultats |
| [Amazon Detective](#integration-amazon-detective) | Reçoit les résultats |
| [Amazon Security Lake](#integration-security-lake) | Reçoit les résultats |
| [AWS Systems Manager Explorateur et OpsCenter](#integration-ssm-explorer-opscenter) | Reçoit et met à jour les résultats |
| [AWS Trusted Advisor](#integration-trusted-advisor) | Reçoit les résultats |
## Services AWS qui envoient les résultats à Security Hub CSPM
Les éléments suivants Services AWS s'intègrent à Security Hub CSPM et peuvent envoyer des résultats à celui-ci. Security Hub CSPM convertit les résultats au format [AWS Security Finding](securityhub-findings-format.md).
### AWS Config (Envoie les résultats)
AWS Config est un service qui vous permet d'évaluer, d'auditer et d'évaluer les configurations de vos AWS ressources. AWS Config surveille et enregistre en permanence les configurations de vos AWS ressources et vous permet d'automatiser l'évaluation des configurations enregistrées par rapport aux configurations souhaitées.
En utilisant l'intégration avec AWS Config, vous pouvez consulter les résultats des évaluations de règles AWS Config gérées et personnalisées sous forme de conclusions dans Security Hub CSPM. Ces résultats peuvent être consultés conjointement avec d'autres résultats du Security Hub CSPM, fournissant ainsi une vue d'ensemble complète de votre posture en matière de sécurité.
AWS Config utilise Amazon EventBridge pour envoyer des évaluations de AWS Config règles à Security Hub CSPM. Security Hub CSPM transforme les évaluations des règles en résultats conformes au format [AWS Security Finding](securityhub-findings-format.md). Security Hub CSPM enrichit ensuite les résultats de son mieux en obtenant plus d'informations sur les ressources concernées, telles que le nom de la ressource Amazon (ARN), les balises de ressource et la date de création.
Pour plus d'informations sur cette intégration, consultez les sections suivantes.
#### Comment AWS Config envoyer les résultats à Security Hub (CSPM)
Tous les résultats du Security Hub CSPM utilisent le format JSON standard d'ASFF. L'ASFF inclut des détails sur l'origine de la découverte, la ressource affectée et l'état actuel de la découverte. AWS Config envoie des évaluations de règles gérées et personnalisées à Security Hub CSPM via. EventBridge Security Hub CSPM transforme les évaluations des règles en résultats conformes à l'ASFF et enrichit les résultats au mieux.
##### Types de résultats AWS Config envoyés au Security Hub CSPM
Une fois l'intégration activée, AWS Config envoie les évaluations de toutes les règles AWS Config gérées et des règles personnalisées à Security Hub CSPM. Seules les évaluations effectuées après l'activation de Security Hub CSPM sont envoyées. Supposons, par exemple, qu'une évaluation des AWS Config règles révèle cinq ressources défaillantes. Si vous activez Security Hub CSPM après cette évaluation et que la règle révèle ensuite une sixième ressource défaillante, AWS Config envoie uniquement la sixième évaluation de ressource au Security Hub CSPM.
Les évaluations issues de [AWS Config règles liées aux services](securityhub-setup-prereqs.md), telles que celles utilisées pour vérifier les contrôles CSPM du Security Hub, sont exclues. L'exception concerne les résultats générés par les règles liées aux services qui AWS Control Tower créent et gèrent dans. AWS Config L'inclusion de résultats pour ces règles permet de garantir que les données de vos résultats incluent les résultats des contrôles proactifs effectués par AWS Control Tower.
##### Envoi AWS Config des résultats à Security Hub CSPM
Lorsque l'intégration est activée, Security Hub CSPM attribue automatiquement les autorisations nécessaires pour recevoir les résultats. AWS Config Security Hub CSPM utilise des autorisations de service-to-service niveau qui vous permettent d'activer cette intégration en toute sécurité et d'importer les résultats depuis AWS Config Amazon. EventBridge
##### Latence pour l'envoi des résultats
Lorsque vous AWS Config créez un nouveau résultat, vous pouvez généralement le consulter dans Security Hub CSPM dans un délai de cinq minutes.
##### Réessayer lorsque Security Hub CSPM n'est pas disponible
AWS Config envoie les résultats au Security Hub CSPM dans la mesure du possible via. EventBridge Lorsqu'un événement n'est pas transmis avec succès à Security Hub CSPM, EventBridge réessayez de le transmettre pendant 24 heures ou 185 fois, selon la première éventualité.
##### Mise à jour des AWS Config résultats existants dans Security Hub CSPM
Après avoir AWS Config envoyé un résultat à Security Hub CSPM, celui-ci peut envoyer des mises à jour du même résultat à Security Hub CSPM afin de refléter des observations supplémentaires concernant l'activité de recherche. Les mises à jour ne sont envoyées que pour les `ComplianceChangeNotification` événements. Si aucun changement de conformité ne se produit, les mises à jour ne sont pas envoyées au Security Hub CSPM. Security Hub CSPM supprime les résultats 90 jours après la dernière mise à jour ou 90 jours après leur création si aucune mise à jour n'a lieu.
Security Hub CSPM n'archive pas les résultats envoyés depuis, AWS Config même si vous supprimez la ressource associée.
##### Régions dans lesquelles AWS Config des résultats existent
AWS Config les résultats sont établis sur une base régionale. AWS Config envoie les résultats au Security Hub CSPM dans la ou les mêmes régions que celles où les résultats ont été trouvés.
### Afficher AWS Config les résultats dans Security Hub CSPM
**Pour consulter vos AWS Config résultats, choisissez Findings dans le volet de navigation du Security Hub CSPM.** Pour filtrer les résultats afin de n'afficher que AWS Config les résultats, sélectionnez **Nom du produit** dans le menu déroulant de la barre de recherche. Entrez **Config**, puis choisissez **Appliquer**.
#### Interprétation AWS Config de la recherche de noms dans Security Hub CSPM
Security Hub CSPM transforme les évaluations des AWS Config règles en résultats conformes aux. [AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md) AWS Config les évaluations de règles utilisent un modèle d'événements différent de celui d'ASFF. Le tableau suivant met en correspondance les champs d'évaluation des AWS Config règles avec leur équivalent ASFF tels qu'ils apparaissent dans Security Hub CSPM.
| Type de recherche d'évaluation des règles de configuration | Type de résultat ASFF | Valeur codée en dur |
| --- | --- | --- |
| détail. awsAccountId | AwsAccountId | |
| détail. newEvaluationResult. resultRecordedTime | CreatedAt | |
| détail. newEvaluationResult. resultRecordedTime | UpdatedAt | |
| | ProductArn | « arn ::securityhub : : : » product/aws/config |
| | ProductName | « Config » |
| | CompanyName | "AWS" |
| | Région | « eu-central-1 » |
| configRuleArn | GeneratorId, ProductFields | |
| détail. ConfigRuleARN/finding/hash | Id | |
| détail. configRuleName | Titre, ProductFields | |
| détail. configRuleName | Description | « Cette constatation est créée pour une modification de conformité des ressources pour la règle de configuration : \$1\$1detail.ConfigRuleName\$1 » |
| Élément de configuration « ARN » ou ARN calculé par Security Hub CSPM | Ressources [i] .id | |
| Détail.Type de ressource | Ressources [i] .Type | "AwsS3Bucket" |
| | Ressources [i] .Partition | "aws" |
| | Ressources [i] .Region | « eu-central-1 » |
| Élément de configuration « configuration » | Ressources [i] .Détails | |
| | SchemaVersion | « 2018-10-08 » |
| | Sévérité. Label | Voir « Interprétation de l'étiquette de gravité » ci-dessous |
| | Types | ["Vérifications du logiciel et de la configuration"] |
| détail. newEvaluationResult. Type de conformité | État de conformité | « ECHEC », « NOT\$1AVAILABLE », « PASSÉ » ou « AVERTISSEMENT » |
| | État du flux de travail | « RÉSOLU » si un AWS Config résultat est généré avec un statut de conformité « RÉUSSI » ou si le statut de conformité passe de « ÉCHEC » à « PASSÉ ». Sinon, Workflow.Status sera « NOUVEAU ». Vous pouvez modifier cette valeur à l'aide de l'opération [BatchUpdateFindings](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API. |
#### Interprétation du label de gravité
Tous les résultats des évaluations des AWS Config règles ont une étiquette de gravité par défaut de **MEDIUM** dans l'ASFF. Vous pouvez mettre à jour l'étiquette de gravité d'une constatation à l'aide de l'opération d'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API.
#### Constatation typique tirée de AWS Config
Security Hub CSPM transforme les évaluations des AWS Config règles en résultats conformes à l'ASFF. Voici un exemple de résultat typique tiré de AWS Config l'ASFF.
**Note**
Si la description comporte plus de 1 024 caractères, elle sera tronquée à 1 024 caractères et indiquera « (tronqué) » à la fin.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
"ProductName": "Config",
"CompanyName": "AWS",
"Region": "eu-central-1",
"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks"
],
"CreatedAt": "2022-04-15T05:00:37.181Z",
"UpdatedAt": "2022-04-19T21:20:15.056Z",
"Severity": {
"Label": "MEDIUM",
"Normalized": 40
},
"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
"ProductFields": {
"aws/securityhub/ProductName": "Config",
"aws/securityhub/CompanyName": "AWS",
"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
"aws/config/ConfigComplianceType": "NON_COMPLIANT"
},
"Resources": [{
"Type": "AwsS3Bucket",
"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
"Partition": "aws",
"Region": "eu-central-1",
"Details": {
"AwsS3Bucket": {
"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
"CreatedAt": "2022-04-15T04:32:53.000Z"
}
}
}],
"Compliance": {
"Status": "FAILED"
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM"
},
"Types": [
"Software and Configuration Checks"
]
}
}
```
### Activation et configuration de l'intégration
Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. AWS Config commence immédiatement à envoyer les résultats à Security Hub CSPM.
### Arrêt de la publication des résultats sur Security Hub CSPM
Pour arrêter d'envoyer des résultats à Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM ou l'API Security Hub CSPM.
Pour obtenir des instructions sur la manière d'arrêter le flux de résultats, voir[Permettre le flux de résultats à partir d'une intégration CSPM avec Security Hub](securityhub-integration-enable.md).
### AWS Firewall Manager (Envoie les résultats)
Firewall Manager envoie les résultats au Security Hub CSPM lorsqu'une politique de pare-feu d'application Web (WAF) pour les ressources ou une règle de liste de contrôle d'accès Web (ACL Web) n'est pas conforme. Firewall Manager envoie également des résultats lorsqu' AWS Shield Advanced il ne protège pas les ressources ou lorsqu'une attaque est identifiée.
Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. Firewall Manager commence immédiatement à envoyer ses résultats à Security Hub CSPM.
Pour en savoir plus sur l'intégration, consultez la page **Intégrations** de la console Security Hub CSPM.
Pour en savoir plus sur Firewall Manager, consultez le [https://docs.aws.amazon.com/waf/latest/developerguide/](https://docs.aws.amazon.com/waf/latest/developerguide/).
### Amazon GuardDuty (envoie les résultats)
GuardDuty envoie tous les types de recherche qu'il génère à Security Hub CSPM. Certains types de recherche sont soumis à des prérequis, à des exigences d'activation ou à des limites régionales. Pour plus d'informations, consultez la section [GuardDuty recherche de types](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
Les nouvelles découvertes GuardDuty sont envoyées au Security Hub CSPM dans les cinq minutes. Les mises à jour des résultats sont envoyées en fonction du paramètre **Résultats mis à jour** pour Amazon EventBridge dans GuardDuty les paramètres.
Lorsque vous générez des GuardDuty échantillons de résultats à l'aide de la page GuardDuty **Paramètres**, Security Hub CSPM reçoit les échantillons de résultats et omet le préfixe `[Sample]` dans le type de recherche. Par exemple, le type de recherche d'échantillon GuardDuty `[SAMPLE] Recon:IAMUser/ResourcePermissions` est affiché comme `Recon:IAMUser/ResourcePermissions` dans Security Hub CSPM.
Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. GuardDutycommence immédiatement à envoyer les résultats à Security Hub CSPM.
Pour plus d'informations sur l' GuardDuty intégration, consultez [Integrating with AWS Security Hub CSPM](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) dans le guide de * GuardDuty l'utilisateur Amazon*.
### AWS Health (Envoie les résultats)
AWS Health fournit une visibilité continue sur les performances de vos ressources et sur la disponibilité de votre Services AWS et Comptes AWS. Vous pouvez utiliser AWS Health les événements pour découvrir comment les modifications des services et des ressources peuvent affecter les applications qui s'exécutent sur AWS.
L'intégration avec AWS Health n'utilise pas`BatchImportFindings`. AWS Health Utilise plutôt la messagerie service-to-service événementielle pour envoyer les résultats au Security Hub CSPM.
Pour plus d'informations sur l'intégration, consultez les sections suivantes.
#### Comment AWS Health envoyer les résultats à Security Hub (CSPM)
Dans Security Hub CSPM, les problèmes de sécurité sont suivis en tant que findings (résultats). Certains résultats proviennent de problèmes détectés par d'autres AWS services ou par des partenaires tiers. Security Hub CSPM dispose également d'un ensemble de règles qu'il utilise pour détecter les problèmes de sécurité et générer des résultats.
Security Hub CSPM fournit des outils permettant de gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Consultez [Révision des informations et de l'historique des recherches dans Security Hub CSPM](securityhub-findings-viewing.md). Vous pouvez également suivre le statut d'une analyse dans un résultat. Consultez [Configuration de l'état des résultats du flux de travail dans Security Hub CSPM](findings-workflow-status.md).
Tous les résultats du Security Hub CSPM utilisent un format JSON standard appelé. [AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md) L'ASFF inclut des détails sur la source du problème, les ressources concernées et l'état actuel de la découverte.
AWS Health est l'un des AWS services qui envoie les résultats au Security Hub CSPM.
##### Types de résultats AWS Health envoyés au Security Hub CSPM
Une fois l'intégration activée, AWS Health envoie les résultats répondant à une ou plusieurs des spécifications répertoriées à Security Hub CSPM. Security Hub CSPM ingère les résultats du. [AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md)
+ Résultats contenant l'une des valeurs suivantes pour Service AWS :
+ `RISK`
+ `ABUSE`
+ `ACM`
+ `CLOUDHSM`
+ `CLOUDTRAIL`
+ `CONFIG`
+ `CONTROLTOWER`
+ `DETECTIVE`
+ `EVENTS`
+ `GUARDDUTY`
+ `IAM`
+ `INSPECTOR`
+ `KMS`
+ `MACIE`
+ `SES`
+ `SECURITYHUB`
+ `SHIELD`
+ `SSO`
+ `COGNITO`
+ `IOTDEVICEDEFENDER`
+ `NETWORKFIREWALL`
+ `ROUTE53`
+ `WAF`
+ `FIREWALLMANAGER`
+ `SECRETSMANAGER`
+ `BACKUP`
+ `AUDITMANAGER`
+ `ARTIFACT`
+ `CLOUDENDURE`
+ `CODEGURU`
+ `ORGANIZATIONS`
+ `DIRECTORYSERVICE`
+ `RESOURCEMANAGER`
+ `CLOUDWATCH`
+ `DRS`
+ `INSPECTOR2`
+ `RESILIENCEHUB`
+ Résultats obtenus avec les mots `security``abuse`, ou `certificate` AWS Health `typeCode` sur le terrain
+ Résultats indiquant où se trouve le AWS Health service `risk` ou `abuse`
##### Envoi AWS Health des résultats à Security Hub CSPM
Lorsque vous choisissez d'accepter les résultats de AWS Health, Security Hub CSPM attribue automatiquement les autorisations nécessaires pour recevoir les résultats. AWS Health Security Hub CSPM utilise des autorisations de service-to-service niveau qui vous permettent d'activer facilement et en toute sécurité cette intégration et d'importer des résultats depuis AWS Health Amazon en votre EventBridge nom. Si vous **sélectionnez Accepter les résultats**, Security Hub CSPM est autorisé à consulter les résultats provenant de. AWS Health
##### Latence pour l'envoi des résultats
Lors de AWS Health la création d'un nouveau résultat, il est généralement envoyé au Security Hub CSPM dans les cinq minutes.
##### Réessayer lorsque Security Hub CSPM n'est pas disponible
AWS Health envoie les résultats au Security Hub CSPM dans la mesure du possible via. EventBridge Lorsqu'un événement n'est pas transmis avec succès à Security Hub CSPM, EventBridge réessaie de l'envoyer pendant 24 heures.
##### Mise à jour des résultats existants dans Security Hub CSPM
Après avoir AWS Health envoyé un résultat à Security Hub CSPM, celui-ci peut envoyer des mises à jour du même résultat afin de refléter des observations supplémentaires concernant l'activité de recherche au Security Hub CSPM.
##### Régions dans lesquelles des résultats existent
Pour les événements internationaux, AWS Health envoie les résultats au Security Hub CSPM dans us-east-1 (partition AWS ), cn-northwest-1 (partition Chine) et -1 (partition). gov-us-west GovCloud AWS Health envoie des événements spécifiques à une région au Security Hub CSPM de la région ou des régions où les événements se produisent.
#### Afficher AWS Health les résultats dans Security Hub CSPM
**Pour consulter vos AWS Health résultats dans Security Hub CSPM, choisissez Findings dans le panneau de navigation.** Pour filtrer les résultats afin de n'afficher que AWS Health les résultats, choisissez **Health** dans le champ **Nom du produit**.
##### Interprétation AWS Health de la recherche de noms dans Security Hub CSPM
AWS Health envoie les résultats à Security Hub CSPM à l'aide du. [AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md) AWS Health la recherche utilise un modèle d'événement différent de celui du format Security Hub CSPM ASFF. Le tableau ci-dessous détaille tous les champs de AWS Health recherche avec leur équivalent ASFF tels qu'ils apparaissent dans Security Hub CSPM.
| Type de diagnostic de santé | Type de résultat ASFF | Valeur codée en dur |
| --- | --- | --- |
| compte | AwsAccountId | |
| Détail.Heure de début | CreatedAt | |
| Détail.Description de l'événement.Dernière description | Description | |
| détail. eventTypeCode | GeneratorId | |
| Detail.EventArn (compte inclus) \$1 hachage de Detail.startTime | Id | |
| « arn:aws:securityhub : : : » product/aws/health | ProductArn | |
| compte ou ResourceID | Ressources [i] .id | |
| | Ressources [i] .Type | « Autre » |
| | SchemaVersion | « 2018-10-08 » |
| | Sévérité. Label | Voir « Interprétation de l'étiquette de gravité » ci-dessous |
| « AWS Health - » détail. eventTypeCode | Titre | |
| - | Types | ["Vérifications du logiciel et de la configuration"] |
| événement.heure | UpdatedAt | |
| URL de l'événement sur la console Health | SourceUrl | |
##### Interprétation du label de gravité
L'étiquette de gravité figurant dans le résultat de l'ASFF est déterminée selon la logique suivante :
+ Gravité **CRITIQUE** si :
+ Le `service` champ de la AWS Health recherche contient la valeur `Risk`
+ Le `typeCode` champ de la AWS Health recherche contient la valeur `AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION`
+ Le `typeCode` champ de la AWS Health recherche contient la valeur `AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK`
+ Le `typeCode` champ de la AWS Health recherche contient la valeur `AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES`
Sévérité **ÉLEVÉE** si :
+ Le `service` champ de la AWS Health recherche contient la valeur `Abuse`
+ Le `typeCode` champ de la AWS Health recherche contient la valeur `SECURITY_NOTIFICATION`
+ Le `typeCode` champ de la AWS Health recherche contient la valeur `ABUSE_DETECTION`
Sévérité **MOYENNE** si :
+ Le `service` champ de la recherche est l'un des suivants : `ACM``ARTIFACT`,`AUDITMANAGER`,`BACKUP`,`CLOUDENDURE`,`CLOUDHSM`,`CLOUDTRAIL`,`CLOUDWATCH`,`CODEGURGU`,`COGNITO`,`CONFIG`,`CONTROLTOWER`,`DETECTIVE`,`DIRECTORYSERVICE`,`DRS`,`EVENTS`,`FIREWALLMANAGER`,`GUARDDUTY`,`IAM`,`INSPECTOR`,`INSPECTOR2`,`IOTDEVICEDEFENDER`, `KMS``MACIE`,`NETWORKFIREWALL`,`ORGANIZATIONS`,`RESILIENCEHUB`,`RESOURCEMANAGER`,`ROUTE53`,`SECURITYHUB`,`SECRETSMANAGER`,`SES`,`SHIELD`,`SSO`, ou `WAF`
+ Le champ **TypeCode** de la AWS Health recherche contient la valeur `CERTIFICATE`
+ Le champ **TypeCode** de la AWS Health recherche contient la valeur `END_OF_SUPPORT`
##### Constatation typique tirée de AWS Health
AWS Health envoie les résultats au Security Hub CSPM à l'aide du. [AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md) Voici un exemple de résultat typique tiré de AWS Health.
**Note**
Si la description comporte plus de 1024 caractères, elle sera tronquée à 1024 caractères et indiquera *(tronqué)* à la fin.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
"GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks"
],
"CreatedAt": "2022-01-07T16:34:04.000Z",
"UpdatedAt": "2022-01-07T19:17:43.000Z",
"Severity": {
"Label": "MEDIUM",
"Normalized": 40
},
"Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
"Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
"SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
"ProductFields": {
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
"aws/securityhub/ProductName": "Health",
"aws/securityhub/CompanyName": "AWS"
},
"Resources": [
{
"Type": "Other",
"Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
}
],
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM"
},
"Types": [
"Software and Configuration Checks"
]
}
}
]
}
```
#### Activation et configuration de l'intégration
Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. AWS Health commence immédiatement à envoyer les résultats à Security Hub CSPM.
#### Arrêt de la publication des résultats sur Security Hub CSPM
Pour arrêter d'envoyer des résultats à Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM ou l'API Security Hub CSPM.
Pour obtenir des instructions sur la manière d'arrêter le flux de résultats, voir[Permettre le flux de résultats à partir d'une intégration CSPM avec Security Hub](securityhub-integration-enable.md).
### AWS Identity and Access Management Access Analyzer (Envoie les résultats)
Avec IAM Access Analyzer, tous les résultats sont envoyés au Security Hub CSPM.
IAM Access Analyzer utilise un raisonnement basé sur la logique pour analyser les politiques basées sur les ressources appliquées aux ressources prises en charge dans votre compte. IAM Access Analyzer génère une constatation lorsqu'il détecte une déclaration de politique permettant à un principal externe d'accéder à une ressource de votre compte.
Dans IAM Access Analyzer, seul le compte administrateur peut consulter les résultats des analyseurs qui s'appliquent à une organisation. Pour les analyseurs d'organisation, le champ `AwsAccountId` ASFF reflète l'ID du compte administrateur. En dessous`ProductFields`, le `ResourceOwnerAccount` champ indique le compte dans lequel la découverte a été découverte. Si vous activez les analyseurs individuellement pour chaque compte, Security Hub CSPM génère plusieurs résultats, l'un identifiant le compte administrateur et l'autre identifiant le compte ressource.
Pour plus d'informations, consultez la section [Intégration à AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html) dans le guide de l'utilisateur *IAM*.
### Amazon Inspector (envoie les résultats)
Amazon Inspector est un service de gestion des vulnérabilités qui analyse en permanence vos AWS charges de travail pour détecter les vulnérabilités. Amazon Inspector découvre et analyse automatiquement les instances Amazon EC2 et les images de conteneurs qui se trouvent dans le registre Amazon Elastic Container Registry. L'analyse recherche les vulnérabilités logicielles et les expositions involontaires au réseau.
Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. Amazon Inspector commence immédiatement à envoyer tous les résultats qu'il génère à Security Hub CSPM.
Pour plus d'informations sur l'intégration, consultez [Integration with AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) dans le guide de l'*utilisateur d'Amazon Inspector*.
Security Hub CSPM peut également recevoir les résultats d'Amazon Inspector Classic. Amazon Inspector Classic envoie les résultats au Security Hub CSPM, qui sont générés par le biais d'évaluations pour tous les packages de règles pris en charge.
Pour plus d'informations sur l'intégration, consultez [Integration with AWS Security Hub CSPM](https://docs.aws.amazon.com/inspector/latest/userguide/securityhub-integration.html) dans le guide de l'*utilisateur Amazon Inspector Classic*.
Les résultats pour Amazon Inspector et Amazon Inspector Classic utilisent le même ARN du produit. Les résultats d'Amazon Inspector contiennent l'entrée suivante dans `ProductFields` :
```
"aws/inspector/ProductVersion": "2",
```
**Note**
Les résultats de sécurité générés par [Amazon Inspector Code Security](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html) ne sont pas disponibles pour cette intégration. Toutefois, vous pouvez accéder à ces résultats spécifiques dans la console Amazon Inspector et via l'[API Amazon Inspector](https://docs.aws.amazon.com/inspector/v2/APIReference/Welcome.html).
### AWS IoT Device Defender (Envoie les résultats)
AWS IoT Device Defender est un service de sécurité qui audite la configuration de vos appareils IoT, surveille les appareils connectés pour détecter les comportements anormaux et contribue à atténuer les risques de sécurité.
Après avoir activé à la fois AWS IoT Device Defender Security Hub CSPM, rendez-vous sur la [page Intégrations de la console Security Hub CSPM](https://console.aws.amazon.com/securityhub/home#/integrations) et choisissez **Accepter les résultats** pour Audit, Detect ou les deux. AWS IoT Device Defender Audit and Detect commence à envoyer tous les résultats au Security Hub CSPM.
AWS IoT Device Defender L'audit envoie des résumés de contrôle à Security Hub CSPM, qui contiennent des informations générales relatives à un type de contrôle d'audit et à une tâche d'audit spécifiques. AWS IoT Device Defender Detect envoie les résultats des violations relatives à l'apprentissage automatique (ML), aux statistiques et aux comportements statiques à Security Hub CSPM. L'audit envoie également les mises à jour de recherche à Security Hub CSPM.
Pour plus d'informations sur cette intégration, consultez la section [Integration with AWS Security Hub CSPM](https://docs.aws.amazon.com/iot/latest/developerguide/securityhub-integration.html) dans le manuel du *AWS IoT développeur*.
### Amazon Macie (envoie les résultats)
Amazon Macie est un service de sécurité des données qui découvre les données sensibles à l'aide du machine learning et de la correspondance de modèles, fournit une visibilité sur les risques liés à la sécurité des données et permet une protection automatisée contre ces risques. Une découverte de Macie peut indiquer l'existence d'une violation potentielle des politiques ou de l'existence de données sensibles dans votre parc de données Amazon S3.
Une fois que vous avez activé Security Hub CSPM, Macie commence automatiquement à envoyer les résultats des politiques au Security Hub CSPM. Vous pouvez configurer l'intégration pour envoyer également les résultats de données sensibles à Security Hub CSPM.
Dans Security Hub CSPM, le type de recherche d'une politique ou d'une recherche de données sensibles est remplacé par une valeur compatible avec ASFF. Par exemple, le type de `Policy:IAMUser/S3BucketPublic` recherche dans Macie est affiché comme `Effects/Data Exposure/Policy:IAMUser-S3BucketPublic` dans Security Hub CSPM.
Macie envoie également des exemples de résultats générés à Security Hub CSPM. Pour les résultats d'échantillonnage, le nom de la ressource affectée est `macie-sample-finding-bucket` et la valeur du `Sample` champ est`true`.
Pour plus d'informations, consultez la section [Évaluation des résultats de Macie avec Security Hub](https://docs.aws.amazon.com/macie/latest/user/securityhub-integration.html) dans le guide de l'*utilisateur Amazon Macie*.
### Amazon Route 53 Resolver Pare-feu DNS (envoie les résultats)
Avec le pare-feu Amazon Route 53 Resolver DNS, vous pouvez filtrer et réguler le trafic DNS sortant pour votre cloud privé virtuel (VPC). Pour ce faire, créez des ensembles réutilisables de règles de filtrage dans les groupes de règles du pare-feu DNS, associez les groupes de règles à votre VPC, puis surveillez l'activité dans les journaux et les métriques du pare-feu DNS. En fonction de l'activité, vous pouvez ajuster le comportement du pare-feu DNS. Le pare-feu DNS est une fonctionnalité de Route 53 Resolver.
Le pare-feu DNS Route 53 Resolver peut envoyer plusieurs types de résultats au Security Hub CSPM :
+ Résultats relatifs aux requêtes bloquées ou alertées pour les domaines associés aux listes de domaines AWS gérés, qui sont des listes de domaines AWS gérées.
+ Résultats relatifs aux requêtes bloquées ou signalées pour les domaines associés à une liste de domaines personnalisée que vous définissez.
+ Résultats relatifs aux requêtes bloquées ou alertées par DNS Firewall Advanced, une fonctionnalité du résolveur Route 53 capable de détecter les requêtes associées à des menaces DNS avancées telles que les algorithmes de génération de domaines (DGAs) et le tunneling DNS.
Une fois que vous avez activé Security Hub CSPM et Route 53 Resolver DNS Firewall, DNS Firewall commence automatiquement à envoyer les résultats relatifs aux listes de domaines AWS gérés et au DNS Firewall Advanced à Security Hub CSPM. Pour également envoyer les résultats d'une liste de domaines personnalisée à Security Hub CSPM, activez manuellement l'intégration dans Security Hub CSPM.
Dans Security Hub CSPM, tous les résultats du pare-feu DNS Route 53 Resolver sont du type suivant :. `TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation`
Pour plus d'informations, consultez la section [Envoi des résultats depuis le pare-feu DNS Route 53 Resolver vers Security Hub](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/securityhub-integration.html) dans le *manuel du développeur Amazon Route 53*.
### AWS Systems Manager Gestionnaire de correctifs (envoie les résultats)
AWS Systems Manager Patch Manager envoie les résultats à Security Hub CSPM lorsque les instances du parc d'un client ne sont pas conformes à sa norme de conformité aux correctifs.
Le Gestionnaire de correctifs automatise le processus d’application des correctifs de sécurité et d’autres types de mise à jour sur les instances gérées.
Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. Systems Manager Patch Manager commence immédiatement à envoyer ses résultats à Security Hub CSPM.
Pour plus d'informations sur l'utilisation du gestionnaire de correctifs, consultez la section [Gestionnaire de AWS Systems Manager correctifs](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) dans le *guide de AWS Systems Manager l'utilisateur*.
## AWS services recevant les résultats de Security Hub CSPM
Les AWS services suivants sont intégrés à Security Hub CSPM et reçoivent les résultats de Security Hub CSPM. Lorsque cela est indiqué, le service intégré peut également mettre à jour les résultats. Dans ce cas, la recherche des mises à jour que vous apportez dans le service intégré sera également reflétée dans Security Hub CSPM.
### AWS Audit Manager (Reçoit les résultats)
AWS Audit Manager reçoit les résultats du Security Hub CSPM. Ces résultats aident les utilisateurs d'Audit Manager à se préparer aux audits.
Pour en savoir plus sur Audit Manager, consultez le [https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html).AWS Les [contrôles CSPM pris en charge par Security Hub AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html) répertorient les contrôles pour lesquels Security Hub CSPM envoie les résultats à Audit Manager.
### Développeur Amazon Q dans les applications de chat (reçoit les résultats)
Amazon Q Developer dans les applications de chat est un agent interactif qui vous aide à surveiller et à interagir avec vos AWS ressources sur vos canaux Slack et les forums de discussion Amazon Chime.
Le développeur d'applications de chat Amazon Q reçoit les conclusions du Security Hub CSPM.
Pour en savoir plus sur l'intégration d'Amazon Q Developer dans les applications de chat à Security Hub CSPM, consultez la présentation de l'[intégration de Security Hub CSPM dans](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html#security-hub) le guide de l'administrateur d'*Amazon Q Developer dans les applications de chat*.
### Amazon Detective (reçoit les résultats)
Detective collecte automatiquement les données des journaux à partir de vos AWS ressources et utilise l'apprentissage automatique, l'analyse statistique et la théorie des graphes pour vous aider à visualiser et à mener des enquêtes de sécurité plus rapides et plus efficaces.
L'intégration de Security Hub CSPM à Detective vous permet de passer des GuardDuty résultats d'Amazon dans Security Hub CSPM à Detective. Vous pouvez ensuite utiliser les outils Detective et les visualisations pour les étudier. L'intégration ne nécessite aucune configuration supplémentaire dans Security Hub CSPM ou Detective.
Pour les résultats reçus d'autres utilisateurs Services AWS, le panneau de détails des résultats de la console Security Hub CSPM inclut une sous-section **Investigate in Detective**. Cette sous-section contient un lien vers Detective où vous pouvez étudier plus en détail le problème de sécurité signalé par le résultat. Vous pouvez également créer un graphe de comportement dans Detective sur la base des résultats du Security Hub CSPM afin de mener des enquêtes plus efficaces. Pour plus d'informations, consultez les [résultats AWS de sécurité](https://docs.aws.amazon.com/detective/latest/adminguide/source-data-types-asff.html) dans le *guide d'administration Amazon Detective*.
Si l'agrégation entre régions est activée, lorsque vous quittez la région d'agrégation, Detective s'ouvre dans la région d'où provient le résultat.
Si un lien ne fonctionne pas et que vous souhaitez accéder à des conseils de dépannage, veuillez consulter la page relative au [dépannage](https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html#profile-pivot-troubleshooting).
### Amazon Security Lake (reçoit les résultats)
Security Lake est un service de lac de données de sécurité entièrement géré. Vous pouvez utiliser Security Lake pour centraliser automatiquement les données de sécurité provenant de sources cloud, locales et personnalisées dans un lac de données stocké dans votre compte. Les abonnés peuvent utiliser les données de Security Lake à des fins d'investigation et d'analyse.
Pour activer cette intégration, vous devez activer les deux services et ajouter Security Hub CSPM en tant que source dans la console Security Lake, l'API Security Lake ou. AWS CLI Une fois ces étapes terminées, Security Hub CSPM commence à envoyer tous les résultats à Security Lake.
Security Lake normalise automatiquement les résultats du Security Hub CSPM et les convertit en un schéma open source standardisé appelé Open Cybersecurity Schema Framework (OCSF). Dans Security Lake, vous pouvez ajouter un ou plusieurs abonnés pour consulter les résultats du Security Hub CSPM.
Pour plus d'informations sur cette intégration, notamment les instructions relatives à l'ajout de Security Hub CSPM en tant que source et à la création d'abonnés, consultez [Integration with AWS Security Hub CSPM dans](https://docs.aws.amazon.com/security-lake/latest/userguide/securityhub-integration.html) le guide de l'utilisateur d'*Amazon Security Lake*.
### AWS Systems Manager Explorer et OpsCenter (reçoit et met à jour les résultats)
AWS Systems Manager Explorez et OpsCenter recevez les résultats de Security Hub CSPM, puis mettez-les à jour dans Security Hub CSPM.
Explorer vous fournit un tableau de bord personnalisable, fournissant des informations et des analyses clés sur la santé opérationnelle et les performances de votre AWS environnement.
OpsCenter vous fournit un emplacement central pour visualiser, étudier et résoudre les éléments de travail opérationnels.
Pour plus d'informations sur Explorer et OpsCenter voir [Gestion des opérations](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-ops-center.html) dans le *Guide de AWS Systems Manager l'utilisateur*.
### AWS Trusted Advisor (Reçoit les résultats)
Trusted Advisor s'appuie sur les meilleures pratiques apprises en servant des centaines de milliers de AWS clients. Trusted Advisor inspecte votre AWS environnement, puis émet des recommandations lorsque des opportunités se présentent pour économiser de l'argent, améliorer la disponibilité et les performances du système ou contribuer à combler les failles de sécurité.
Lorsque vous activez à la fois Security Hub CSPM Trusted Advisor et Security Hub, l'intégration est automatiquement mise à jour.
Security Hub CSPM envoie les résultats de ses vérifications des meilleures pratiques de sécurité AWS fondamentales à. Trusted Advisor
*Pour plus d'informations sur l'intégration de Security Hub CSPM avec Security Hub Trusted Advisor, consultez la section [Visualisation des contrôles CSPM de AWS Security Hub dans AWS Trusted Advisor le Guide de l'utilisateur](https://docs.aws.amazon.com/awssupport/latest/user/security-hub-controls-with-trusted-advisor.html) du Support AWS .*
# Intégrations de produits tiers avec Security Hub CSPM
AWS Security Hub CSPM s'intègre à plusieurs produits partenaires tiers. Une intégration peut effectuer une ou plusieurs des actions suivantes :
+ Envoyer les résultats qu'il génère à Security Hub CSPM
+ Recevez les résultats de Security Hub CSPM
+ Mettre à jour les résultats dans Security Hub CSPM
Les intégrations qui envoient des résultats à Security Hub CSPM ont un Amazon Resource Name (ARN).
Il se peut qu'une intégration ne soit pas disponible du tout Régions AWS. Si une intégration n'est pas prise en charge dans la région à laquelle vous êtes actuellement connecté sur la console Security Hub CSPM, elle n'apparaît pas sur la page **Intégrations** de la console. Pour obtenir la liste des intégrations disponibles dans les régions de Chine AWS GovCloud (US) Regions, voir[Disponibilité des intégrations par région](securityhub-regions.md#securityhub-regions-integration-support).
Si vous disposez d'une solution de sécurité et souhaitez devenir partenaire du Security Hub CSPM, envoyez un e-mail à securityhub-partners@amazon.com. Pour plus d'informations, consultez le [Guide d'intégration des partenaires](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-overview.html).
## Présentation des intégrations tierces avec Security Hub CSPM
Le tableau suivant fournit une vue d'ensemble des intégrations tierces qui peuvent envoyer des résultats à Security Hub CSPM ou recevoir des résultats de Security Hub CSPM.
| Integration | Direction | ARN (le cas échéant) |
| --- | --- | --- |
| [3CORESec – 3CORESec NTA](#integration-3coresec-nta) | Envoie les résultats | `arn:aws:securityhub:::product/3coresec/3coresec` |
| [Alert Logic – SIEMless Threat Management](#integration-alert-logic-siemless) | Envoie les résultats | `arn:aws:securityhub::733251395267:product/alertlogic/althreatmanagement` |
| [Aqua Security – Aqua Cloud Native Security Platform](#integration-aqua-security-cloud-native-security-platform) | Envoie les résultats | `arn:aws:securityhub:::product/aquasecurity/aquasecurity` |
| [Aqua Security – Kube-bench](#integration-aqua-security-kubebench) | Envoie les résultats | `arn:aws:securityhub:::product/aqua-security/kube-bench` |
| [Armor – Armor Anywhere](#integration-armor-anywhere) | Envoie les résultats | `arn:aws:securityhub::679703615338:product/armordefense/armoranywhere` |
| [AttackIQ – AttackIQ](#integration-attackiq) | Envoie les résultats | `arn:aws:securityhub:::product/attackiq/attackiq-platform` |
| [Barracuda Networks – Cloud Security Guardian](#integration-barracuda-cloud-security-guardian) | Envoie les résultats | `arn:aws:securityhub::151784055945:product/barracuda/cloudsecurityguardian` |
| [BigID – BigID Enterprise](#integration-bigid-enterprise) | Envoie les résultats | `arn:aws:securityhub:::product/bigid/bigid-enterprise` |
| [Blue Hexagon – Blue Hexagon forAWS](#integration-blue-hexagon-for-aws) | Envoie les résultats | `arn:aws:securityhub:::product/blue-hexagon/blue-hexagon-for-aws` |
| [Check Point – CloudGuard IaaS](#integration-checkpoint-cloudguard-iaas) | Envoie les résultats | `arn:aws:securityhub::758245563457:product/checkpoint/cloudguard-iaas` |
| [Check Point – CloudGuard Posture Management](#integration-checkpoint-cloudguard-posture-management) | Envoie les résultats | `arn:aws:securityhub::634729597623:product/checkpoint/dome9-arc` |
| [Claroty – xDome](#integration-claroty-xdome) | Envoie les résultats | `arn:aws:securityhub:::product/claroty/xdome` |
| [Cloud Storage Security— Antivirus for Amazon S3](#integration-checkpoint-cloudguard-posture-management) | Envoie les résultats | `arn:aws:securityhub:::product/cloud-storage-security/antivirus-for-amazon-s3` |
| [Contrast Security](#integration-contrast-security) | Envoie les résultats | `arn:aws:securityhub:::product/contrast-security/security-assess` |
| [CrowdStrike – CrowdStrike Falcon](#integration-crowdstrike-falcon) | Envoie les résultats | `arn:aws:securityhub::517716713836:product/crowdstrike/crowdstrike-falcon` |
| [CyberArk – Privileged Threat Analytics](#integration-cyberark-privileged-threat-analytics) | Envoie les résultats | `arn:aws:securityhub::749430749651:product/cyberark/cyberark-pta` |
| [Data Theorem – Data Theorem](#integration-data-theorem) | Envoie les résultats | `arn:aws:securityhub:::product/data-theorem/api-cloud-web-secure` |
| [Drata](#integration-drata) | Envoie les résultats | `arn:aws:securityhub:::product/drata/drata-integration` |
| [Forcepoint – Forcepoint CASB](#integration-forcepoint-casb) | Envoie les résultats | `arn:aws:securityhub::365761988620:product/forcepoint/forcepoint-casb` |
| [Forcepoint – Forcepoint Cloud Security Gateway](#integration-forcepoint-cloud-security-gateway) | Envoie les résultats | `arn:aws:securityhub:::product/forcepoint/forcepoint-cloud-security-gateway` |
| [Forcepoint – Forcepoint DLP](#integration-forcepoint-dlp) | Envoie les résultats | `arn:aws:securityhub::365761988620:product/forcepoint/forcepoint-dlp` |
| [Forcepoint – Forcepoint NGFW](#integration-forcepoint-ngfw) | Envoie les résultats | `arn:aws:securityhub::365761988620:product/forcepoint/forcepoint-ngfw` |
| [Fugue – Fugue](#integration-fugue) | Envoie les résultats | `arn:aws:securityhub:::product/fugue/fugue` |
| [Guardicore – Centra 4.0](#integration-guardicore-centra) | Envoie les résultats | `arn:aws:securityhub:::product/guardicore/guardicore` |
| [HackerOne – Vulnerability Intelligence](#integration-hackerone-vulnerability-intelligence) | Envoie les résultats | `arn:aws:securityhub:::product/hackerone/vulnerability-intelligence` |
| [JFrog – Xray](#integration-jfrog-xray) | Envoie les résultats | `arn:aws:securityhub:::product/jfrog/jfrog-xray` |
| [Juniper Networks – vSRX Next Generation Firewall](#integration-junipernetworks-vsrxnextgenerationfirewall) | Envoie les résultats | `arn:aws:securityhub:::product/juniper-networks/vsrx-next-generation-firewall` |
| [k9 Security – Access Analyzer](#integration-k9-security-access-analyzer) | Envoie les résultats | `arn:aws:securityhub:::product/k9-security/access-analyzer` |
| [Lacework – Lacework](#integration-lacework) | Envoie les résultats | `arn:aws:securityhub:::product/lacework/lacework` |
| [McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)](#integration-mcafee-mvision-cnapp) | Envoie les résultats | `arn:aws:securityhub:::product/mcafee-skyhigh/mcafee-mvision-cloud-aws` |
| [NETSCOUT – NETSCOUT Cyber Investigator](#integration-netscout-cyber-investigator) | Envoie les résultats | `arn:aws:securityhub:us-east-1::product/netscout/netscout-cyber-investigator` |
| [Orca Cloud Security Platform](#integration-orca-cloud-security-platform) | Envoie les résultats | `arn:aws:securityhub:::product/orca-security/orca-security` |
| [Palo Alto Networks – Prisma Cloud Compute](#integration-palo-alto-prisma-cloud-compute) | Envoie les résultats | `arn:aws:securityhub::496947949261:product/twistlock/twistlock-enterprise` |
| [Palo Alto Networks – Prisma Cloud Enterprise](#integration-palo-alto-prisma-cloud-enterprise) | Envoie les résultats | `arn:aws:securityhub::188619942792:product/paloaltonetworks/redlock` |
| [Plerion – Cloud Security Platform](#integration-plerion) | Envoie les résultats | `arn:aws:securityhub:::product/plerion/cloud-security-platform` |
| [Prowler – Prowler](#integration-prowler) | Envoie les résultats | `arn:aws:securityhub:::product/prowler/prowler` |
| [Qualys – Vulnerability Management](#integration-qualys-vulnerability-management) | Envoie les résultats | `arn:aws:securityhub::805950163170:product/qualys/qualys-vm` |
| [Rapid7 – InsightVM](#integration-rapid7-insightvm) | Envoie les résultats | `arn:aws:securityhub::336818582268:product/rapid7/insightvm` |
| [SentinelOne – SentinelOne](#integration-sentinelone) | Envoie les résultats | `arn:aws:securityhub:::product/sentinelone/endpoint-protection` |
| [Snyk](#integration-snyk) | Envoie les résultats | `arn:aws:securityhub:::product/snyk/snyk` |
| [Sonrai Security – Sonrai Dig](#integration-sonrai-dig) | Envoie les résultats | `arn:aws:securityhub:::product/sonrai-security/sonrai-dig` |
| [Sophos – Server Protection](#integration-sophos-server-protection) | Envoie les résultats | `arn:aws:securityhub::062897671886:product/sophos/sophos-server-protection` |
| [StackRox – StackRox Kubernetes Security](#integration-stackrox-kubernetes-security) | Envoie les résultats | `arn:aws:securityhub:::product/stackrox/kubernetes-security` |
| [Sumo Logic – Machine Data Analytics](#integration-sumologic-machine-data-analytics) | Envoie les résultats | `arn:aws:securityhub::956882708938:product/sumologicinc/sumologic-mda` |
| [Symantec – Cloud Workload Protection](#integration-symantec-cloud-workload-protection) | Envoie les résultats | `arn:aws:securityhub::754237914691:product/symantec-corp/symantec-cwp` |
| [Tenable – Tenable.io](#integration-tenable-tenableio) | Envoie les résultats | `arn:aws:securityhub::422820575223:product/tenable/tenable-io` |
| [Trend Micro – Cloud One](#integration-trend-micro) | Envoie les résultats | `arn:aws:securityhub:::product/trend-micro/cloud-one` |
| [Vectra – Cognito Detect](#integration-vectra-ai-cognito-detect) | Envoie les résultats | `arn:aws:securityhub::978576646331:product/vectra-ai/cognito-detect` |
| [Wiz](#integration-wiz) | Envoie les résultats | `arn:aws:securityhub:::product/wiz-security/wiz-security` |
| [Atlassian - Jira Service Management](#integration-atlassian-jira-service-management) | Reçoit et met à jour les résultats | Non applicable |
| [Atlassian - Jira Service Management Cloud](#integration-atlassian-jira-service-management-cloud) | Reçoit et met à jour les résultats | Non applicable |
| [Atlassian – Opsgenie](#integration-atlassian-opsgenie) | Reçoit les résultats | Non applicable |
| [Dynatrace](#integration-dynatrace) | Reçoit les résultats | Non applicable |
| [Elastic](#integration-elastic) | Reçoit les résultats | Non applicable |
| [Fortinet – FortiCNP](#integration-fortinet-forticnp) | Reçoit les résultats | Non applicable |
| [IBM – QRadar](#integration-ibm-qradar) | Reçoit les résultats | Non applicable |
| [Logz.io Cloud SIEM](#integration-logzio-cloud-siem) | Reçoit les résultats | Non applicable |
| [MetricStream](#integration-metricstream) | Reçoit les résultats | Non applicable |
| [MicroFocus – MicroFocus Arcsight](#integration-microfocus-arcsight) | Reçoit les résultats | Non applicable |
| [New Relic Vulnerability Management](#integration-new-relic-vulnerability-management) | Reçoit les résultats | Non applicable |
| [PagerDuty – PagerDuty](#integration-pagerduty) | Reçoit les résultats | Non applicable |
| [Palo Alto Networks – Cortex XSOAR](#integration-palo-alto-cortex-xsoar) | Reçoit les résultats | Non applicable |
| [Palo Alto Networks – VM-Series](#integration-palo-alto-vmseries) | Reçoit les résultats | Non applicable |
| [Rackspace Technology – Cloud Native Security](#integration-rackspace-cloud-native-security) | Reçoit les résultats | Non applicable |
| [Rapid7 – InsightConnect](#integration-rapid7-insightconnect) | Reçoit les résultats | Non applicable |
| [RSA – RSA Archer](#integration-rsa-archer) | Reçoit les résultats | Non applicable |
| [ServiceNow – ITSM](#integration-servicenow-itsm) | Reçoit et met à jour les résultats | Non applicable |
| [Slack – Slack](#integration-slack) | Reçoit les résultats | Non applicable |
| [Splunk – Splunk Enterprise](#integration-splunk-enterprise) | Reçoit les résultats | Non applicable |
| [Splunk – Splunk Phantom](#integration-splunk-phantom) | Reçoit les résultats | Non applicable |
| [ThreatModeler](#integration-threatmodeler) | Reçoit les résultats | Non applicable |
| [Trellix – Trellix Helix](#integration-fireeye-helix) | Reçoit les résultats | Non applicable |
| [Caveonix – Caveonix Cloud](#integration-caveonix-cloud) | Envoie et reçoit les résultats | `arn:aws:securityhub:::product/caveonix/caveonix-cloud` |
| [Cloud Custodian – Cloud Custodian](#integration-cloud-custodian) | Envoie et reçoit les résultats | `arn:aws:securityhub:::product/cloud-custodian/cloud-custodian` |
| [DisruptOps, Inc. – DisruptOPS](#integration-disruptops) | Envoie et reçoit les résultats | `arn:aws:securityhub:::product/disruptops-inc/disruptops` |
| [Kion](#integration-kion) | Envoie et reçoit les résultats | `arn:aws:securityhub:::product/cloudtamerio/cloudtamerio` |
| [Turbot – Turbot](#integration-turbot) | Envoie et reçoit les résultats | `arn:aws:securityhub::453761072151:product/turbot/turbot` |
## Intégrations tierces qui envoient les résultats à Security Hub CSPM
Les intégrations de produits partenaires tiers suivantes peuvent envoyer des résultats à Security Hub CSPM. Security Hub CSPM transforme les résultats au format [AWS Security Finding](securityhub-findings-format.md).
### 3CORESec – 3CORESec NTA
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/3coresec/3coresec`
3CORESecfournit des services de détection gérés à la fois sur site et pour les AWS systèmes. Leur intégration à Security Hub CSPM permet d'avoir une visibilité sur les menaces telles que les malwares, l'augmentation des privilèges, les mouvements latéraux et la segmentation incorrecte du réseau.
[Lien vers le produit](https://3coresec.com)
[Documentation destinée aux partenaires](https://docs.google.com/document/d/1TPUuuyoAVrMKRVnGKouRy384ZJ1-3xZTnruHkIHJqWQ/edit?usp=sharing)
### Alert Logic – SIEMless Threat Management
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::733251395267:product/alertlogic/althreatmanagement`
Bénéficiez du niveau de couverture approprié : visibilité des vulnérabilités et des actifs, détection des menaces et gestion des incidents AWS WAF, et options d'analyse SOC assignées.
[Lien vers le produit](https://www.alertlogic.com/solutions/platform/aws-security/)
[Documentation destinée aux partenaires](https://docs.alertlogic.com/configure/aws-security-hub.htm)
### Aqua Security – Aqua Cloud Native Security Platform
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/aquasecurity/aquasecurity`
Aqua Cloud Native Security Platform (CSP)assure la sécurité du cycle de vie complet des applications basées sur des conteneurs et sans serveur, de votre CI/CD pipeline aux environnements de production d'exécution.
[Lien vers le produit](https://blog.aquasec.com/aqua-aws-security-hub)
[Documentation destinée aux partenaires](https://github.com/aquasecurity/aws-security-hub-plugin)
### Aqua Security – Kube-bench
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/aqua-security/kube-bench`
Kube-benchest un outil open source qui exécute le Benchmark Kubernetes du Center for Internet Security (CIS) par rapport à votre environnement.
[Lien vers le produit](https://github.com/aquasecurity/kube-bench/blob/master/README.md)
[Documentation destinée aux partenaires](https://github.com/aquasecurity/kube-bench/blob/master/README.md)
### Armor – Armor Anywhere
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::679703615338:product/armordefense/armoranywhere`
Armor Anywhereassure la gestion de la sécurité et de la conformité pour AWS.
[Lien vers le produit](https://aws.amazon.com/marketplace/seller-profile?id=797425f4-6823-4cf6-82b5-634f9a9ec347)
[Documentation destinée aux partenaires](https://amp.armor.com/account/cloud-connections)
### AttackIQ – AttackIQ
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/attackiq/attackiq-platform`
AttackIQ Platformémule un véritable comportement contradictoire conforme au framework MITRE ATT&CK pour vous aider à valider et à améliorer votre posture de sécurité globale.
[Lien vers le produit](https://go.attackiq.com/BD-AWS-Security-Hub_LP.html)
[Documentation destinée aux partenaires](https://github.com/AttackIQ/attackiq.github.io)
### Barracuda Networks – Cloud Security Guardian
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::151784055945:product/barracuda/cloudsecurityguardian`
Barracuda Cloud Security Sentryaide les entreprises à rester en sécurité lors de la création d'applications et du transfert de charges de travail vers le cloud public.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/B07KF2X7QJ)
[Lien vers le produit](https://www.barracuda.com/solutions/aws)
### BigID – BigID Enterprise
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/bigid/bigid-enterprise`
BigID Enterprise Privacy Management PlatformCela aide les entreprises à gérer et à protéger les données sensibles (PII) sur l'ensemble de leurs systèmes.
[Lien vers le produit](https://github.com/bigexchange/aws-security-hub)
[Documentation destinée aux partenaires](https://github.com/bigexchange/aws-security-hub)
### Blue Hexagon— Blue Hexagon pour AWS
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/blue-hexagon/blue-hexagon-for-aws`
Blue Hexagonest une plateforme de détection des menaces en temps réel. Il utilise les principes du deep learning pour détecter les menaces connues et inconnues, notamment les malwares et les anomalies du réseau.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-fvt5ts3ulhrtk?sr=0-1&ref_=beagle&applicationId=AWSMPContessa)
[Documentation destinée aux partenaires](https://bluehexagonai.atlassian.net/wiki/spaces/BHDOC/pages/395935769/Deploying+Blue+Hexagon+with+AWS+Traffic+Mirroring#DeployingBlueHexagonwithAWSTrafficMirroringDeployment-Integrations)
### Check Point – CloudGuard IaaS
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::758245563457:product/checkpoint/cloudguard-iaas`
Check Point CloudGuardétend facilement la sécurité complète de prévention des menaces AWS tout en protégeant les actifs dans le cloud.
[Lien vers le produit](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)
[Documentation destinée aux partenaires](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk140412)
### Check Point – CloudGuard Posture Management
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::634729597623:product/checkpoint/dome9-arc`
Une plateforme SaaS qui assure une sécurité vérifiable du réseau cloud, une protection IAM avancée, ainsi qu'une conformité et une gouvernance complètes.
[Lien vers le produit](https://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f)
[Documentation destinée aux partenaires](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk144592&partition=General&product=CloudGuard)
### Claroty – xDome
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/claroty/xdome`
Claroty xDomeaide les entreprises à sécuriser leurs systèmes cyber-physiques via l'Internet étendu des objets (XIoT) dans les environnements industriels (OT), de santé (IoMT) et d'entreprise (IoT).
[Lien vers le produit](https://claroty.com/)
[Documentation destinée aux partenaires](https://claroty.com/resources/integration-briefs/the-claroty-aws-securityhub-integration-guide)
### Cloud Storage Security— Antivirus for Amazon S3
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/cloud-storage-security/antivirus-for-amazon-s3`
Cloud Storage Securityfournit une analyse antivirus et anti-malware native dans le cloud pour les objets Amazon S3.
Antivirus for Amazon S3 propose des analyses planifiées et en temps réel des objets et des fichiers dans Amazon S3 pour détecter les malwares et les menaces. Il fournit de la visibilité et des solutions aux problèmes et aux fichiers infectés.
[Lien vers le produit](https://cloudstoragesec.com/)
[Documentation destinée aux partenaires](https://help.cloudstoragesec.com/console-overview/console-settings/#send-scan-result-findings-to-aws-security-hub)
### Contrast Security – Contrast Assess
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/contrast-security/security-assess`
Contrast Security Contrast Assessest un outil IAST qui permet de détecter les vulnérabilités en temps réel dans les applications Web et APIs les microservices. Contrast Assesss'intègre à Security Hub CSPM pour fournir une visibilité et une réponse centralisées pour toutes vos charges de travail.
[Lien vers le produit](https://aws.amazon.com/marketplace/pp/prodview-g5df2jw32felw)
[Documentation destinée aux partenaires](https://docs.contrastsecurity.com/en/securityhub.html)
### CrowdStrike – CrowdStrike Falcon
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::517716713836:product/crowdstrike/crowdstrike-falcon`
Le capteur CrowdStrike Falcon unique et léger unifie l'antivirus de nouvelle génération, la détection et la réponse des terminaux, ainsi que la gestion de la recherche 24 heures sur 24, 7 jours sur 7 dans le cloud.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=f4fb055a-5333-4b6e-8d8b-a4143ad7f6c7)
[Documentation destinée aux partenaires](https://github.com/CrowdStrike/falcon-integration-gateway)
### CyberArk – Privileged Threat Analytics
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::749430749651:product/cyberark/cyberark-pta`
Privileged Threat Analyticscollectez, détectez, alertez et répondez aux activités et comportements à haut risque des comptes privilégiés afin de contenir les attaques en cours.
[Lien vers le produit](https://www.cyberark.com/solutions/digital-transformation/cloud-virtualization-security/)
[Documentation destinée aux partenaires](https://cyberark-customers.force.com/mplace/s/#a352J000000dZATQA2-a392J000001Z3eaQAC)
### Data Theorem – Data Theorem
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/data-theorem/api-cloud-web-secure`
Data Theoremanalyse en permanence les applications Web et APIs les ressources du cloud à la recherche de failles de sécurité et de failles de confidentialité des données afin de prévenir les violations de AppSec données.
[Lien vers le produit](https://www.datatheorem.com/partners/aws/)
[Documentation destinée aux partenaires](https://datatheorem.atlassian.net/wiki/spaces/PKB/pages/1730347009/AWS+Security+Hub+Integration)
### Drata
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/drata/drata-integration`
Drataest une plateforme d'automatisation de la conformité qui vous aide à atteindre et à maintenir la conformité à divers cadres SOC2, tels que l'ISO et le RGPD. L'intégration entre Security Hub CSPM Drata et Security Hub vous permet de centraliser vos résultats de sécurité en un seul endroit.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-3ubrmmqkovucy)
[Documentation destinée aux partenaires](https://drata.com/partner/aws)
### Forcepoint – Forcepoint CASB
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::365761988620:product/forcepoint/forcepoint-casb`
Forcepoint CASBvous permet de découvrir l'utilisation des applications cloud, d'analyser les risques et d'appliquer les contrôles appropriés pour les applications SaaS et personnalisées.
[Lien vers le produit](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)
[Documentation destinée aux partenaires](https://frcpnt.com/casb-securityhub)
### Forcepoint – Forcepoint Cloud Security Gateway
**Type d'intégration :** Envoyer
ARN du produit : `arn:aws:securityhub:::product/forcepoint/forcepoint-cloud-security-gateway`
Forcepoint Cloud Security Gatewayest un service de sécurité cloud convergé qui fournit visibilité, contrôle et protection contre les menaces aux utilisateurs et aux données, où qu'ils se trouvent.
[Lien vers le produit](https://www.forcepoint.com/product/cloud-security-gateway)
[Documentation destinée aux partenaires](https://forcepoint.github.io/docs/csg_and_aws_security_hub/#forcepoint-cloud-security-gateway-and-aws-security-hub)
### Forcepoint – Forcepoint DLP
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::365761988620:product/forcepoint/forcepoint-dlp`
Forcepoint DLPaborde les risques centrés sur l'humain en offrant visibilité et contrôle partout où vos employés travaillent et où résident vos données.
[Lien vers le produit](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)
[Documentation destinée aux partenaires](https://frcpnt.com/dlp-securityhub)
### Forcepoint – Forcepoint NGFW
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::365761988620:product/forcepoint/forcepoint-ngfw`
Forcepoint NGFWvous permet de connecter votre AWS environnement au réseau de votre entreprise avec l'évolutivité, la protection et les informations nécessaires pour gérer votre réseau et répondre aux menaces.
[Lien vers le produit](https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads)
[Documentation destinée aux partenaires](https://frcpnt.com/ngfw-securityhub)
### Fugue – Fugue
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/fugue/fugue`
Fugueest une plateforme cloud native évolutive et sans agent qui automatise la validation continue des environnements d' infrastructure-as-codeexécution dans le cloud en utilisant les mêmes politiques.
[Lien vers le produit](https://www.fugue.co/aws-security-hub-integration)
[Documentation destinée aux partenaires](https://docs.fugue.co/integrations-aws-security-hub.html)
### Guardicore – Centra 4.0
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/guardicore/guardicore`
Guardicore Centrafournit la visualisation des flux, la microsegmentation et la détection des violations pour les charges de travail dans les centres de données et les clouds modernes.
[Lien vers le produit](https://aws.amazon.com/marketplace/seller-profile?id=21127457-7622-49be-81a6-4cb5dd77a088)
[Documentation destinée aux partenaires](https://customers.guardicore.com/login)
### HackerOne – Vulnerability Intelligence
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/hackerone/vulnerability-intelligence`
La HackerOne plateforme s'associe à la communauté mondiale des hackers pour découvrir les problèmes de sécurité les plus pertinents. Vulnerability Intelligencepermet à votre entreprise d'aller au-delà du scan automatique. Il partage des vulnérabilités que des pirates informatiques HackerOne éthiques ont validées et fournit des mesures pour les reproduire.
[AWS lien vers le marché](https://aws.amazon.com/marketplace/seller-profile?id=10857e7c-011b-476d-b938-b587deba31cf)
[Documentation destinée aux partenaires](https://docs.hackerone.com/en/articles/8562571-aws-security-hub-integration)
### JFrog – Xray
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/jfrog/jfrog-xray`
JFrog Xrayest un outil universel d'analyse de la composition logicielle (SCA) de sécurité des applications qui analyse en permanence les fichiers binaires pour détecter la conformité des licences et les vulnérabilités de sécurité afin que vous puissiez gérer une chaîne d'approvisionnement logicielle sécurisée.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=68002c4f-c9d1-4fa7-b827-fd7204523fb7)
[Documentation destinée aux partenaires](https://www.jfrog.com/confluence/display/JFROG/Xray+Integration+with+AWS+Security+Hub)
### Juniper Networks – vSRX Next Generation Firewall
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/juniper-networks/vsrx-next-generation-firewall`
Juniper Networks'Le pare-feu virtuel de nouvelle génération vSRX fournit un pare-feu virtuel complet basé sur le cloud avec une sécurité avancée, un SD-WAN sécurisé, un réseau robuste et une automatisation intégrée.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-z7jcugjx442hw)
[Documentation destinée aux partenaires](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html#id-enable-and-configure-security-hub-on-vsrx)
[Lien vers le produit](https://www.juniper.net/documentation/us/en/software/vsrx/vsrx-consolidated-deployment-guide/vsrx-aws/topics/topic-map/security-aws-cloudwatch-security-hub-and-logs.html)
### k9 Security – Access Analyzer
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/k9-security/access-analyzer`
k9 Securityvous avertit lorsque des modifications d'accès importantes sont apportées à votre Gestion des identités et des accès AWS compte. Vous pouvez ainsi comprendre l'accès des utilisateurs et des rôles IAM aux données critiques Services AWS et à vos données. k9 Security
k9 Securityest conçu pour une diffusion continue, vous permettant d'opérationnaliser l'IAM grâce à des audits d'accès exploitables et à une automatisation simple des politiques pour AWS CDK Terraform et Terraform.
[Lien vers le produit](https://www.k9security.io/lp/operationalize-aws-iam-security-hub)
[Documentation destinée aux partenaires](https://www.k9security.io/docs/how-to-configure-k9-access/)
### Lacework – Lacework
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/lacework/lacework`
Laceworkest la plateforme de sécurité basée sur les données pour le cloud. La plateforme de sécurité cloud Lacework automatise la sécurité du cloud à grande échelle afin que vous puissiez innover rapidement et en toute sécurité.
[Lien vers le produit](https://www.lacework.com/platform/aws/)
[Documentation destinée aux partenaires](https://www.lacework.com/platform/aws/)
### McAfee – MVISION Cloud Native Application Protection Platform (CNAPP)
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/mcafee-skyhigh/mcafee-mvision-cloud-aws`
McAfee MVISION Cloud Native Application Protection Platform (CNAPP)propose une gestion de la posture de sécurité dans le cloud (CSPM) et une plate-forme de protection de la charge de travail dans le cloud (CWPP) pour votre environnement. AWS
[Lien vers le produit](https://aws.amazon.com/marketplace/pp/prodview-ol6txkzkdyacc)
[Documentation destinée aux partenaires](https://success.myshn.net/Cloud_Native_Application_Protection_Platform_(IaaS)/Amazon_Web_Services_(AWS)/Integrate_MVISION_Cloud_with_AWS_Security_Hub)
### NETSCOUT – NETSCOUT Cyber Investigator
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/netscout/netscout-cyber-investigator`
NETSCOUT Cyber Investigatorest une plateforme d'analyse des menaces réseau, d'investigation des risques et d'analyse médico-légale à l'échelle de l'entreprise qui aide à réduire l'impact des cybermenaces sur les entreprises.
[Lien vers le produit](https://aws.amazon.com/marketplace/pp/prodview-reujxcu2cv3f4?qid=1608874215786&sr=0-1&ref_=srh_res_product_title)
[Documentation destinée aux partenaires](https://www.netscout.com/solutions/cyber-investigator-aws)
### Orca Cloud Security Platform
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/orca-security/orca-security`
Il Orca Cloud Security Platform identifie, hiérarchise et corrige les risques et les problèmes de conformité dans l'ensemble de votre parc cloud. Orca’sCette plateforme pilotée par l'IA, qui privilégie l'utilisation d'agents, offre une couverture complète pour détecter les vulnérabilités, les erreurs de configuration, les mouvements latéraux, les risques liés aux API, les données sensibles, les événements et comportements anormaux, ainsi que les identités trop permissives.
Orcas'intègre à Security Hub CSPM pour intégrer une télémétrie de sécurité cloud approfondie à Security Hub CSPM. Orca, grâce à sa SideScanning technologie, hiérarchise les risques liés à l'infrastructure cloud, aux charges de travail, aux applications, aux données APIs, aux identités, etc.
[Lien vers le produit](https://orca.security/partners/technology/amazon-web-services-aws/)
[Documentation destinée aux partenaires](https://docs.orcasecurity.io/docs/integrating-amazon-security-hub)
### Palo Alto Networks – Prisma Cloud Compute
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::496947949261:product/twistlock/twistlock-enterprise`
Prisma Cloud Computeest une plateforme de cybersécurité native dans le cloud qui protège les plateformes VMs, les conteneurs et les plateformes sans serveur.
[Lien vers le produit](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)
[Documentation destinée aux partenaires](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/alerts/aws_security_hub.html)
### Palo Alto Networks – Prisma Cloud Enterprise
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::188619942792:product/paloaltonetworks/redlock`
Protège votre AWS déploiement grâce à l'analyse de la sécurité du cloud, à la détection avancée des menaces et à la surveillance de la conformité.
[Lien vers le produit](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)
[Documentation destinée aux partenaires](https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin/configure-external-integrations-on-prisma-cloud/integrate-prisma-cloud-with-aws-security-hub)
### Plerion – Cloud Security Platform
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/plerion/cloud-security-platform`
Plerionest une plateforme de sécurité dans le cloud dotée d'une approche unique axée sur les menaces et axée sur les risques qui propose des mesures préventives, détectives et correctives pour l'ensemble de vos charges de travail. L'intégration entre Security Hub CSPM Plerion et Security Hub permet aux clients de centraliser leurs résultats de sécurité et d'agir en conséquence en un seul endroit.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=464b7833-edb8-43ee-b083-d8a298b7ba08)
[Documentation destinée aux partenaires](https://au.app.plerion.com/resource-center/platform-documentation/integrations/outbound/securityHub)
### Prowler – Prowler
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/prowler/prowler`
Prowlerest un outil de sécurité open source permettant d'effectuer AWS des vérifications liées aux meilleures pratiques de sécurité, au renforcement et à la surveillance continue.
[Lien vers le produit](https://github.com/prowler-cloud/prowler)
[Documentation destinée aux partenaires](https://github.com/prowler-cloud/prowler#security-hub-integration)
### Qualys – Vulnerability Management
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::805950163170:product/qualys/qualys-vm`
Qualys Vulnerability Management (VM)analyse et identifie en permanence les vulnérabilités, protégeant ainsi vos actifs.
[Lien vers le produit](https://www.qualys.com/public-cloud/#aws)
[Documentation destinée aux partenaires](https://qualys-secure.force.com/discussions/s/article/000005831)
### Rapid7 – InsightVM
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::336818582268:product/rapid7/insightvm`
Rapid7 InsightVMfournit une gestion des vulnérabilités pour les environnements modernes, vous permettant de détecter, de hiérarchiser et de corriger efficacement les vulnérabilités.
[Lien vers le produit](https://www.rapid7.com/products/insightvm/)
[Documentation destinée aux partenaires](https://docs.rapid7.com/insightvm/aws-security-hub/)
#### SentinelOne – SentinelOne
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/sentinelone/endpoint-protection`
SentinelOneest une plateforme autonome de détection et de réponse étendues (XDR) qui englobe la prévention, la détection, la réponse et la recherche basées sur l'IA sur les terminaux, les conteneurs, les charges de travail dans le cloud et les appareils IoT.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-2qxvr62fng6li?sr=0-2&ref_=beagle&applicationId=AWSMPContessa)
[Lien vers le produit](https://www.sentinelone.com/press/sentinelone-announces-integration-with-aws-security-hub/)
### Snyk
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/snyk/snyk`
Snykfournit une plate-forme de sécurité qui analyse les composants de l'application pour détecter les risques de sécurité liés aux charges de travail en cours d'exécution. AWS Ces risques sont envoyés au Security Hub CSPM sous forme de conclusions, ce qui permet aux développeurs et aux équipes de sécurité de les visualiser et de les hiérarchiser, ainsi que le reste de leurs résultats de AWS sécurité.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/seller-profile?id=bb528b8d-079c-455e-95d4-e68438530f85)
[Documentation destinée aux partenaires](https://docs.snyk.io/integrations/event-forwarding/aws-security-hub)
### Sonrai Security – Sonrai Dig
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/sonrai-security/sonrai-dig`
Sonrai Digsurveille et corrige les erreurs de configuration du cloud et les violations des politiques, afin que vous puissiez améliorer votre niveau de sécurité et de conformité.
[Lien vers le produit](https://sonraisecurity.com/solutions/amazon-web-services-aws-and-sonrai-security/)
[Documentation destinée aux partenaires](https://sonraisecurity.com/blog/monitor-privilege-escalation-risk-of-identities-from-aws-security-hub-with-integration-from-sonrai/)
### Sophos – Server Protection
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::062897671886:product/sophos/sophos-server-protection`
Sophos Server Protectiondéfend les applications et les données critiques au cœur de votre organisation en utilisant des defense-in-depth techniques complètes.
[Lien vers le produit](https://www.sophos.com/en-us/products/cloud-native-security/aws)
### StackRox – StackRox Kubernetes Security
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/stackrox/kubernetes-security`
StackRoxaide les entreprises à sécuriser leurs déploiements de conteneurs et de Kubernetes à grande échelle en appliquant leurs politiques de conformité et de sécurité tout au long du cycle de vie des conteneurs : création, déploiement et exécution.
[Lien vers le produit](https://aws.amazon.com/marketplace/pp/B07RP4B4P1)
[Documentation destinée aux partenaires](https://help.stackrox.com/docs/integrate-with-other-tools/integrate-with-aws-security-hub/)
### Sumo Logic – Machine Data Analytics
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::956882708938:product/sumologicinc/sumologic-mda`
Sumo Logicest une plateforme sécurisée d'analyse des données machine qui permet aux équipes de développement et d'opérations de sécurité de créer, d'exécuter et de sécuriser leurs AWS applications.
[Lien vers le produit](https://www.sumologic.com/application/aws-security-hub/)
[Documentation destinée aux partenaires](https://help.sumologic.com/07Sumo-Logic-Apps/01Amazon_and_AWS/AWS_Security_Hub)
### Symantec – Cloud Workload Protection
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::754237914691:product/symantec-corp/symantec-cwp`
Cloud Workload Protectionfournit une protection complète à vos instances Amazon EC2 grâce à un logiciel antimalware, à la prévention des intrusions et à la surveillance de l'intégrité des fichiers.
[Lien vers le produit](https://www.broadcom.com/products/cyber-security/endpoint/hybrid-cloud/cloud-workload-protection)
[Documentation destinée aux partenaires](https://help.symantec.com/cs/scwp/SCWP/v130271667_v111037498/Intergration-with-AWS-Security-Hub/?locale=EN_US&sku=CWP_COMPUTE)
### Tenable – Tenable.io
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::422820575223:product/tenable/tenable-io`
Identifier, rechercher et hiérarchiser avec précision les vulnérabilités. Géré dans le cloud.
[Lien vers le produit](https://www.tenable.com/)
[Documentation destinée aux partenaires](https://github.com/tenable/Security-Hub)
### Trend Micro – Cloud One
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/trend-micro/cloud-one`
Trend Micro Cloud Onefournit les bonnes informations de sécurité aux équipes au bon moment et au bon endroit. Cette intégration envoie les résultats de sécurité à Security Hub CSPM en temps réel, améliorant ainsi la visibilité de vos AWS ressources et des détails des Trend Micro Cloud One événements dans Security Hub CSPM.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)
[Documentation destinée aux partenaires](https://cloudone.trendmicro.com/docs/integrations/aws-security-hub/)
### Vectra – Cognito Detect
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub::978576646331:product/vectra-ai/cognito-detect`
Vectratransforme la cybersécurité en appliquant une intelligence artificielle avancée pour détecter les cyberattaquants cachés et y répondre avant qu'ils ne volent ou ne causent des dommages.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-x2mabtjqsjb2w)
[Documentation destinée aux partenaires](https://cognito-resource-guide.s3.us-west-2.amazonaws.com/Vectra_AWS_SecurityHub_Integration_Guide.pdf)
### Wiz – Wiz Security
**Type d'intégration :** Envoyer
**ARN du produit :** `arn:aws:securityhub:::product/wiz-security/wiz-security`
Wizanalyse en permanence les configurations, les vulnérabilités, les réseaux, les paramètres IAM, les secrets, etc. pour l'ensemble de vos Comptes AWS utilisateurs et de vos charges de travail afin de découvrir les problèmes critiques qui représentent un risque réel. Intégrez Wiz à Security Hub CSPM pour visualiser et résoudre les problèmes détectés par Wiz depuis la console Security Hub CSPM.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-wgtgfzwbk4ahy)
[Documentation destinée aux partenaires](https://docs.wiz.io/wiz-docs/docs/security-hub-integration)
## Intégrations tierces recevant les résultats de Security Hub CSPM
Les intégrations de produits partenaires tiers suivantes peuvent bénéficier des résultats de Security Hub CSPM. Lorsque cela est indiqué, le produit peut également mettre à jour les résultats. Dans ce cas, les mises à jour que vous apportez aux résultats du produit partenaire sont également prises en compte dans Security Hub CSPM.
### Atlassian - Jira Service Management
**Type d'intégration :** réception et mise à jour
Le Connecteur AWS Service Management for Jira envoie les résultats du Security Hub CSPM à. Jira Jirales problèmes sont créés en fonction des résultats. Lorsque les Jira problèmes sont mis à jour, les résultats correspondants sont mis à jour dans Security Hub CSPM.
L'intégration prend uniquement en charge Jira Server et Jira Data Center.
Pour un aperçu de l'intégration et de son fonctionnement, regardez la vidéo [AWS Security Hub CSPM — Intégration bidirectionnelle](https://www.youtube.com/watch?v=uEKwu0M8S3M) avec. Atlassian Jira Service Management
[Lien vers le produit](https://www.atlassian.com/software/jira/service-management)
[Documentation destinée aux partenaires](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html)
### Atlassian - Jira Service Management Cloud
**Type d'intégration :** réception et mise à jour
Jira Service Management Cloudest le composant cloud de Jira Service Management.
Le Connecteur AWS Service Management for Jira envoie les résultats du Security Hub CSPM à. Jira Les résultats déclenchent la création de problèmes dansJira Service Management Cloud. Lorsque vous mettez à jour ces problèmesJira Service Management Cloud, les résultats correspondants sont également mis à jour dans Security Hub CSPM.
[Lien vers le produit](https://marketplace.atlassian.com/apps/1221283/aws-service-management-connector-for-jsm?tab=overview&hosting=cloud)
[Documentation destinée aux partenaires](https://docs.aws.amazon.com/smc/latest/ag/integrations-jsmcloud.html)
### Atlassian – Opsgenie
**Type d'intégration : Réception**
Opsgenieest une solution moderne de gestion des incidents permettant d'exploiter des services permanents, permettant aux équipes de développement et d'exploitation de planifier les interruptions de service et de garder le contrôle en cas d'incident.
L'intégration à Security Hub CSPM garantit que les incidents critiques liés à la sécurité sont transmis aux équipes appropriées pour une résolution immédiate.
[Lien vers le produit](https://www.atlassian.com/software/opsgenie)
[Documentation destinée aux partenaires](https://docs.opsgenie.com/docs/amazon-security-hub-integration-bidirectional)
### Dynatrace
**Type d'intégration : Réception**
L'Dynatraceintégration avec Security Hub CSPM permet d'unifier, de visualiser et d'automatiser les résultats de sécurité entre les outils et les environnements. L'ajout Dynatrace d'un contexte d'exécution aux résultats de sécurité permet une hiérarchisation plus intelligente, contribue à réduire le bruit généré par les alertes et permet à vos DevSecOps équipes de se concentrer sur la résolution efficace des problèmes critiques qui affectent vos environnements de production et vos applications.
[Lien vers le produit](https://www.dynatrace.com/solutions/application-security/)
[Documentation destinée aux partenaires](https://docs.dynatrace.com/docs/secure/threat-observability/security-events-ingest/ingest-aws-security-hub)
### Elastic
**Type d'intégration : Réception**
Elasticdéveloppe des solutions basées sur la recherche pour la sécurité, l'observabilité et la recherche. Grâce à l'intégration du Security Hub CSPM, il intègre les résultats et les informations de Security Hub CSPM de manière programmatique, les normalise à des fins de corrélation et d'analyse, et présente des tableaux de bord et des détections unifiés, ce qui permet un Elastic triage et une investigation plus rapides sans déployer d'agents. Elastic Security
[Lien vers le produit](https://www.elastic.co/blog/elastic-integrates-leading-cloud-security-vendors)
[Documentation destinée aux partenaires](https://www.elastic.co/docs/reference/integrations/aws/securityhub)
### Fortinet – FortiCNP
**Type d'intégration : Réception**
FortiCNPest un produit de protection cloud native qui regroupe les résultats de sécurité en informations exploitables et hiérarchise les informations de sécurité en fonction du score de risque afin de réduire la fatigue liée aux alertes et d'accélérer les mesures correctives.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vl24vc3mcb5ak)
[Documentation destinée aux partenaires](https://docs.fortinet.com/document/forticnp/22.3.a/online-help/467775/aws-security-hub-configuration)
### IBM – QRadar
**Type d'intégration : Réception**
IBM QRadarLe SIEM permet aux équipes de sécurité de détecter, de hiérarchiser, d'étudier et de répondre rapidement et précisément aux menaces.
[Lien vers le produit](https://www.ibm.com/docs/en/qradar-common?topic=app-aws-security-hub-integration)
[Documentation destinée aux partenaires](https://www.ibm.com/docs/en/qradar-common?topic=configuration-integrating-aws-security-hub)
### Logz.io Cloud SIEM
**Type d'intégration : Réception**
Logz.ioest un fournisseur Cloud SIEM qui fournit une corrélation avancée entre les données des journaux et des événements afin d'aider les équipes de sécurité à détecter, analyser et répondre aux menaces de sécurité en temps réel.
[Lien vers le produit](https://logz.io/solutions/cloud-monitoring-aws/)
[Documentation destinée aux partenaires](https://docs.logz.io/shipping/security-sources/aws-security-hub.html)
### MetricStream – CyberGRC
**Type d'intégration : Réception**
MetricStream CyberGRCvous aide à gérer, mesurer et atténuer les risques de cybersécurité. En recevant les résultats du Security Hub CSPM, vous CyberGRC bénéficiez d'une meilleure visibilité sur ces risques, ce qui vous permet de hiérarchiser les investissements en cybersécurité et de vous conformer aux politiques informatiques.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)
[Lien vers le produit](https://www.metricstream.com/)
### MicroFocus – MicroFocus Arcsight
**Type d'intégration : Réception**
ArcSightaccélère la détection efficace des menaces et la réponse en temps réel, en intégrant la corrélation des événements et les analyses supervisées et non supervisées à l'automatisation et à l'orchestration des réponses.
[Lien vers le produit](https://aws.amazon.com/marketplace/pp/B07RM918H7)
[Documentation destinée aux partenaires](https://community.microfocus.com/cyberres/productdocs/w/connector-documentation/2768/smartconnector-for-amazon-web-services-security-hub)
### New Relic Vulnerability Management
**Type d'intégration : Réception**
New Relic Vulnerability Managementreçoit les résultats de sécurité du Security Hub CSPM, afin que vous puissiez bénéficier d'une vue centralisée de la sécurité ainsi que de la télémétrie des performances dans le contexte de votre stack.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-yg3ykwh5tmolg)
[Documentation destinée aux partenaires](https://docs.newrelic.com/docs/vulnerability-management/integrations/aws/)
### PagerDuty – PagerDuty
**Type d'intégration : Réception**
La plateforme de gestion des opérations PagerDuty numériques permet aux équipes d'atténuer de manière proactive les problèmes ayant un impact sur les clients en transformant automatiquement chaque signal en informations et en actions appropriées.
AWS les utilisateurs peuvent utiliser l'PagerDutyensemble d' AWS intégrations pour faire évoluer leur environnement AWS et celui des environnements hybrides en toute confiance.
Associée à Security Hub CSPM, les alertes de sécurité agrégées et organisées PagerDuty permettent aux équipes d'automatiser leur processus de réponse aux menaces et de configurer rapidement des actions personnalisées pour prévenir les problèmes potentiels.
PagerDutyles utilisateurs qui entreprennent un projet de migration vers le cloud peuvent agir rapidement, tout en réduisant l'impact des problèmes survenant tout au long du cycle de vie de la migration.
[Lien vers le produit](https://aws.amazon.com/marketplace/pp/prodview-5sf6wkximaixc?ref_=srh_res_product_title)
[Documentation destinée aux partenaires](https://support.pagerduty.com/docs/aws-security-hub-integration-guide-pagerduty)
### Palo Alto Networks – Cortex XSOAR
**Type d'intégration : Réception**
Cortex XSOARest une plateforme SOAR (Security Orchestration, Automation, and Response) qui s'intègre à l'ensemble de vos produits de sécurité pour accélérer la réponse aux incidents et les opérations de sécurité.
[Lien vers le produit](https://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314)
[Documentation destinée aux partenaires](https://xsoar.pan.dev/docs/reference/integrations/aws---security-hub)
### Palo Alto Networks – VM-Series
**Type d'intégration : Réception**
Palo Alto VM-Seriesl'intégration avec Security Hub CSPM collecte des informations sur les menaces et les envoie au pare-feu de VM-Series nouvelle génération sous forme de mise à jour automatique de la politique de sécurité qui bloque les activités malveillantes liées aux adresses IP.
[Lien vers le produit](https://github.com/PaloAltoNetworks/pan_aws_security_hub)
[Documentation destinée aux partenaires](https://github.com/PaloAltoNetworks/pan_aws_security_hub)
### Rackspace Technology – Cloud Native Security
**Type d'intégration : Réception**
Rackspace Technology fournit des services de sécurité gérés en plus des produits de AWS sécurité natifs pour la surveillance 24 heures sur 24, 7 jours sur 7, 365 jours par an par le Rackspace SOC, l'analyse avancée et la correction des menaces.
[Lien vers le produit](https://www.rackspace.com/managed-aws/capabilities/security)
### Rapid7 – InsightConnect
**Type d'intégration : Réception**
Rapid7 InsightConnectest une solution d'orchestration et d'automatisation de la sécurité qui permet à votre équipe d'optimiser les opérations SOC avec peu ou pas de code.
[Lien vers le produit](https://www.rapid7.com/platform/)
[Documentation destinée aux partenaires](https://docs.rapid7.com/insightconnect/aws-security-hub/)
### RSA – RSA Archer
**Type d'intégration : Réception**
RSA ArcherLa gestion des risques informatiques et de sécurité vous permet de déterminer quels actifs sont essentiels à votre entreprise, d'établir et de communiquer des politiques et des normes de sécurité, de détecter les attaques et d'y répondre, d'identifier et de corriger les failles de sécurité et d'établir des meilleures pratiques claires en matière de gestion des risques informatiques.
[Lien vers le produit](https://community.rsa.com/docs/DOC-111898)
[Documentation destinée aux partenaires](https://community.rsa.com/docs/DOC-111898)
### ServiceNow – ITSM
**Type d'intégration :** réception et mise à jour
L'ServiceNowintégration avec Security Hub CSPM permet de consulter les résultats de sécurité du Security Hub CSPM. ServiceNow ITSM Vous pouvez également configurer ServiceNow pour créer automatiquement un incident ou un problème lorsqu'il reçoit une découverte du Security Hub CSPM.
Toute mise à jour de ces incidents et problèmes entraîne une mise à jour des résultats dans Security Hub CSPM.
Pour un aperçu de l'intégration et de son fonctionnement, regardez la vidéo [AWS Security Hub CSPM - Intégration bidirectionnelle](https://www.youtube.com/watch?v=OYTi0sjEggE) avec. ServiceNow ITSM
[Lien vers le produit](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-servicenow.html)
[Documentation destinée aux partenaires](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/securityhub-config.html)
### Slack – Slack
**Type d'intégration : Réception**
Slackest une couche de la pile technologique de l'entreprise qui réunit les personnes, les données et les applications. Il s'agit d'un endroit unique où les personnes peuvent travailler ensemble efficacement, trouver des informations importantes et accéder à des centaines de milliers d'applications et de services essentiels pour faire de leur mieux.
[Lien vers le produit](https://github.com/aws-samples/aws-securityhub-to-slack)
[Documentation destinée aux partenaires](https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html)
### Splunk – Splunk Enterprise
**Type d'intégration : Réception**
Splunkutilise Amazon CloudWatch Events en tant que consommateur des résultats du Security Hub CSPM. Envoyez vos données à Splunk pour des analyses de sécurité avancées et un SIEM.
[Lien vers le produit](https://splunkbase.splunk.com/app/5767)
[Documentation destinée aux partenaires](https://github.com/splunk/splunk-for-securityHub)
### Splunk – Splunk Phantom
**Type d'intégration : Réception**
Avec l'Splunk Phantomapplication AWS Security Hub CSPM, les résultats sont envoyés Phantom pour un enrichissement automatique du contexte avec des informations supplémentaires sur les menaces ou pour effectuer des actions de réponse automatisées.
[Lien vers le produit](https://splunkbase.splunk.com/app/5767)
[Documentation destinée aux partenaires](https://splunkphantom.s3.amazonaws.com/phantom-sechub-setup.html)
### ThreatModeler
**Type d'intégration : Réception**
ThreatModelerest une solution de modélisation automatisée des menaces qui sécurise et adapte le cycle de vie des logiciels d'entreprise et du développement du cloud.
[Lien vers le produit](https://aws.amazon.com/marketplace/pp/B07S65ZLPQ)
[Documentation destinée aux partenaires](https://threatmodeler-setup-quickstart.s3.amazonaws.com/ThreatModeler+Setup+Guide/ThreatModeler+Setup+%26+Deployment+Guide.pdf)
### Trellix – Trellix Helix
**Type d'intégration : Réception**
Trellix Helixest une plateforme d'opérations de sécurité hébergée dans le cloud qui permet aux entreprises de prendre le contrôle de tout incident, de l'alerte à la résolution.
[Lien vers le produit](https://www.trellix.com/en-us/products/helix.html)
[Documentation destinée aux partenaires](https://docs.trellix.com/bundle/fe-helix-enterprise-landing/)
## Intégrations tierces qui envoient des résultats à Security Hub (CSPM) et en reçoivent des
Les intégrations de produits partenaires tiers suivantes peuvent envoyer des résultats à Security Hub CSPM et en recevoir.
### Caveonix – Caveonix Cloud
**Type d'intégration :** envoi et réception
**ARN du produit :** `arn:aws:securityhub:::product/caveonix/caveonix-cloud`
La plateforme Caveonix basée sur l'IA automatise la visibilité, l'évaluation et l'atténuation dans les clouds hybrides, en couvrant les services cloud natifs et les VMs conteneurs. Intégré à AWS Security Hub CSPM, il Caveonix fusionne les AWS données et les analyses avancées pour obtenir des informations sur les alertes de sécurité et la conformité.
[AWS Lien Marketplace](https://aws.amazon.com/marketplace/pp/prodview-v6nlnxa5e67es)
[Documentation destinée aux partenaires](https://support.caveonix.com/hc/en-us/articles/18171468832529-App-095-How-to-Integration-AWS-Security-Hub-with-Caveonix-Cloud-)
### Cloud Custodian – Cloud Custodian
**Type d'intégration :** envoi et réception
**ARN du produit :** `arn:aws:securityhub:::product/cloud-custodian/cloud-custodian`
Cloud Custodianpermet de bien gérer les utilisateurs dans le cloud. Le langage DSL YAML simple permet de définir facilement des règles pour créer une infrastructure cloud bien gérée, à la fois sécurisée et optimisée en termes de coûts.
[Lien vers le produit](https://cloudcustodian.io/docs/aws/topics/securityhub.html)
[Documentation destinée aux partenaires](https://cloudcustodian.io/docs/aws/topics/securityhub.html)
### DisruptOps, Inc. – DisruptOPS
**Type d'intégration :** envoi et réception
**ARN du produit :** `arn:aws:securityhub:::product/disruptops-inc/disruptops`
La plate-forme des opérations DisruptOps de sécurité aide les entreprises à maintenir les meilleures pratiques de sécurité dans votre cloud grâce à l'utilisation de barrières de sécurité automatisées.
[Lien vers le produit](https://disruptops.com/ad/securityhub-isa/)
[Documentation destinée aux partenaires](https://disruptops.com/securityhub/)
### Kion
**Type d'intégration :** envoi et réception
**ARN du produit :** `arn:aws:securityhub:::product/cloudtamerio/cloudtamerio`
Kion(anciennement cloudtamer.io) est une solution complète de gouvernance du cloud pour. AWSKiondonne aux parties prenantes une visibilité sur les opérations du cloud et aide les utilisateurs du cloud à gérer les comptes, à contrôler le budget et les coûts, et à garantir une conformité continue.
[Lien vers le produit](https://kion.io/partners/aws)
[Documentation destinée aux partenaires](https://support.kion.io/hc/en-us/articles/360046647551-AWS-Security-Hub)
### Turbot – Turbot
**Type d'intégration :** envoi et réception
**ARN du produit :** `arn:aws:securityhub:::product/turbot/turbot`
Turbotgarantit que votre infrastructure cloud est sécurisée, conforme, évolutive et optimisée en termes de coûts.
[Lien vers le produit](https://turbot.com/features/)
[Documentation destinée aux partenaires](https://turbot.com/blog/2018/11/aws-security-hub/)
# Intégration de Security Hub CSPM à des produits personnalisés
Outre les résultats générés par les AWS services intégrés et les produits tiers, AWS Security Hub CSPM peut utiliser les résultats générés par d'autres produits de sécurité personnalisés.
Vous pouvez envoyer ces résultats à Security Hub CSPM en utilisant l'API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)Security Hub CSPM. Vous pouvez utiliser la même opération pour mettre à jour les résultats des produits personnalisés que vous avez déjà envoyés à Security Hub CSPM.
Lors de la configuration de l'intégration personnalisée, utilisez les [directives et les listes de contrôle](https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-guidelines-checklists.html) fournies dans le Guide d'intégration des *partenaires Security Hub CSPM*.
## Exigences et recommandations pour les intégrations de produits personnalisées
Avant de pouvoir invoquer correctement l'opération [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)d'API, vous devez activer Security Hub CSPM.
Vous devez également fournir des informations de recherche pour le produit personnalisé à l'aide du[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md). Consultez les exigences et recommandations suivantes pour les intégrations de produits personnalisées :
**Définition de l'ARN du produit**
Lorsque vous activez Security Hub CSPM, un produit Amazon Resource Name (ARN) par défaut pour Security Hub CSPM est généré dans votre compte courant.
Le format de l'ARN de ce produit est le suivant : `arn:aws:securityhub:::product//default`. Par exemple, `arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default`.
Utilisez l'ARN de ce produit comme valeur de l'attribut [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn) lorsque vous appelez l'opération d'API `BatchImportFindings`.
**Définition du nom de l'entreprise et du produit**
Vous pouvez l'utiliser `BatchImportFindings` pour définir un nom de société et un nom de produit préférés pour l'intégration personnalisée qui envoie les résultats à Security Hub CSPM.
Les noms que vous avez spécifiés remplacent le nom de l'entreprise et le nom du produit préconfigurés, appelés respectivement nom personnel et nom par défaut, et apparaissent dans la console Security Hub CSPM et dans le JSON de chaque résultat. Consultez [BatchImportFindings pour trouver des fournisseurs](finding-update-batchimportfindings.md).
**Définition du résultat IDs**
Vous devez fournir, gérer et augmenter vos propres résultats à l'aide IDs de l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)attribut.
Chaque nouvelle découverte doit avoir un identifiant de recherche unique. Si le produit personnalisé envoie plusieurs résultats avec le même identifiant de recherche, Security Hub CSPM ne traite que le premier résultat.
**Définition de l'ID de compte**
Vous devez spécifier votre propre ID de compte à l'aide de l'attribut [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId).
**Définition des dates de création et de mise à jour**
Vous devez fournir vos propres horodatages pour les attributs [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt) et [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt).
## Importation de résultats à partir de produits personnalisés
En plus d'envoyer de nouveaux résultats provenant de produits personnalisés, vous pouvez également utiliser l’opération d’API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) pour mettre à jour les résultats existants provenant de produits personnalisés.
Pour mettre à jour les résultats existants, utilisez l'ID de résultat existant (attribut [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id)). Renvoyez le résultat complet avec les informations appropriées mises à jour dans la demande, y compris un horodatage [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt) modifié.
## Exemples d'intégrations personnalisées
Vous pouvez utiliser les exemples d'intégrations de produits personnalisés suivants comme guide pour créer vos propres solutions personnalisées :
**Envoi des résultats des Chef InSpec scans à Security Hub CSPM**
Vous pouvez créer un CloudFormation modèle qui exécute une analyse de [Chef InSpec](https://www.chef.io/products/chef-inspec/) conformité, puis envoie les résultats à Security Hub CSPM.
Pour plus de détails, consultez la section [Surveillance continue de la conformité avec Chef InSpecAWS Security Hub CSPM](https://aws.amazon.com/blogs/security/continuous-compliance-monitoring-with-chef-inspec-and-aws-security-hub/).
**Envoi des vulnérabilités des conteneurs détectées par le Trivy Security Hub (CSPM)**
Vous pouvez créer un CloudFormation modèle qui permet de scanner [AquaSecurity Trivy](https://github.com/aquasecurity/trivy) les conteneurs à la recherche de vulnérabilités, puis d'envoyer les résultats de ces vulnérabilités au Security Hub CSPM.
Pour plus de détails, consultez [Comment créer un CI/CD pipeline pour l'analyse des vulnérabilités des conteneurs avec TrivyAWS Security Hub CSPM](https://aws.amazon.com/blogs/security/how-to-build-ci-cd-pipeline-container-vulnerability-scanning-trivy-and-aws-security-hub/).
# Création et mise à jour des résultats dans Security Hub CSPM
Dans AWS Security Hub CSPM, un *résultat* est un enregistrement observable d'un contrôle de sécurité ou d'une détection liée à la sécurité. Une découverte peut provenir de l'une des sources suivantes :
+ Contrôle de sécurité pour un contrôle dans Security Hub CSPM.
+ Une intégration avec un autre Service AWS.
+ Une intégration avec un produit tiers.
+ Une intégration personnalisée.
Security Hub CSPM normalise les résultats provenant de toutes les sources selon une syntaxe et un format standard appelés *AWS Security Finding Format (*ASFF). Pour des informations détaillées sur ce format, y compris les descriptions des champs ASFF individuels, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md). Si vous activez l'agrégation entre régions, Security Hub CSPM agrège également automatiquement les résultats nouveaux et mis à jour provenant de toutes les régions liées vers une région d'agrégation que vous spécifiez. Pour de plus amples informations, veuillez consulter [Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
Une fois qu'un résultat a été créé, il peut être mis à jour comme suit :
+ Un fournisseur de recherche peut utiliser le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)fonctionnement de l'API Security Hub CSPM pour mettre à jour les informations générales concernant le résultat. Les fournisseurs de résultats ne peuvent mettre à jour que les résultats qu'ils ont créés.
+ Un client peut utiliser la console Security Hub CSPM ou le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)fonctionnement de l'API Security Hub CSPM pour mettre à jour le statut de l'enquête sur le résultat. L'`BatchUpdateFindings`opération peut également être utilisée par un SIEM, une billetterie, une gestion des incidents, un SOAR ou un autre type d'outil pour le compte d'un client.
Pour réduire le bruit lié aux recherches et rationaliser le suivi et l'analyse des résultats individuels, Security Hub CSPM supprime automatiquement les résultats qui n'ont pas été mis à jour récemment. Le délai dans lequel Security Hub CSPM effectue cette opération dépend du fait qu'une découverte est active ou archivée :
+ Un *résultat actif* est un résultat dont l'état d'enregistrement (`RecordState`) est`ACTIVE`. Security Hub CSPM stocke les résultats actifs pendant 90 jours. Si un résultat actif n'a pas été mis à jour depuis 90 jours, il expire et Security Hub CSPM le supprime définitivement.
+ Une *découverte archivée* est une découverte dont l'état d'enregistrement (`RecordState`) est`ARCHIVED`. Security Hub CSPM stocke les résultats archivés pendant 30 jours. Si un résultat archivé n'a pas été mis à jour depuis 30 jours, il expire et Security Hub CSPM le supprime définitivement.
Pour les résultats de contrôle, qui sont des résultats générés par Security Hub CSPM à partir de vérifications de sécurité pour les contrôles, Security Hub CSPM détermine si un résultat a expiré en fonction de la valeur du `UpdatedAt` champ du résultat. Si cette valeur remonte à plus de 90 jours pour un résultat actif, Security Hub CSPM le supprime définitivement. Si cette valeur remonte à plus de 30 jours pour un résultat archivé, Security Hub CSPM le supprime définitivement.
Pour tous les autres types de résultats, Security Hub CSPM détermine si un résultat a expiré en fonction des valeurs des `UpdatedAt` champs `ProcessedAt` et du résultat. Security Hub CSPM compare les valeurs de ces champs et détermine lequel est le plus récent. Si la valeur la plus récente remonte à plus de 90 jours pour un résultat actif, Security Hub CSPM le supprime définitivement. Si la valeur la plus récente remonte à plus de 30 jours pour un résultat archivé, Security Hub CSPM supprime définitivement le résultat. Les fournisseurs de recherche peuvent modifier la valeur du `UpdatedAt` champ d'un ou de plusieurs résultats en utilisant le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)fonctionnement de l'API Security Hub CSPM.
Pour conserver les résultats à plus long terme, vous pouvez exporter les résultats vers un compartiment S3. Vous pouvez le faire en utilisant une action personnalisée avec une EventBridge règle Amazon. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md).
**Topics**
+ [BatchImportFindings pour trouver des fournisseurs](finding-update-batchimportfindings.md)
+ [BatchUpdateFindings pour les clients](finding-update-batchupdatefindings.md)
+ [Révision des informations et de l'historique des recherches dans Security Hub CSPM](securityhub-findings-viewing.md)
+ [Filtrer les résultats dans Security Hub CSPM](securityhub-findings-manage.md)
+ [Regroupement des résultats dans Security Hub CSPM](finding-list-grouping.md)
+ [Configuration de l'état des résultats du flux de travail dans Security Hub CSPM](findings-workflow-status.md)
+ [Envoi des résultats à une action Security Hub CSPM personnalisée](findings-custom-action.md)
+ [AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md)
# BatchImportFindings pour trouver des fournisseurs
La recherche de fournisseurs peut utiliser cette [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)opération pour créer de nouvelles découvertes dans AWS Security Hub CSPM. Ils peuvent également utiliser cette opération pour mettre à jour les résultats qu'ils ont créés. La recherche de fournisseurs ne permet pas de mettre à jour des résultats qu'ils n'ont pas créés.
Les clients SIEMs, la billetterie, le SOAR et d'autres types d'outils doivent utiliser cette [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)opération pour effectuer des mises à jour liées à leur enquête sur les résultats de la recherche de fournisseurs. Pour de plus amples informations, veuillez consulter [BatchUpdateFindings pour les clients](finding-update-batchupdatefindings.md).
Lorsque Security Hub CSPM reçoit une `BatchImportFindings` demande de création ou de mise à jour d'un résultat, il génère automatiquement un **Security Hub Findings - Imported**événement sur Amazon. EventBridge Vous pouvez prendre des mesures automatisées sur cet événement. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md).
## Conditions préalables pour l’utilisation du `BatchImportFindings`.
`BatchImportFindings`doit être appelé par l'une des personnes suivantes :
+ Le compte associé aux résultats. L'identifiant du compte associé doit correspondre à la valeur de l'`AwsAccountId`attribut utilisé pour la recherche.
+ Un compte autorisé en tant qu'intégration officielle des partenaires Security Hub CSPM.
Security Hub CSPM peut uniquement accepter de rechercher des mises à jour pour les comptes sur lesquels Security Hub CSPM est activé. Le fournisseur de résultats doit également être activé. Si Security Hub CSPM est désactivé ou si l'intégration du fournisseur de recherche n'est pas activée, les résultats sont renvoyés dans la `FailedFindings` liste avec une `InvalidAccess` erreur.
## Déterminer s'il faut créer ou mettre à jour un résultat
Pour déterminer s'il faut créer ou mettre à jour un résultat, Security Hub CSPM vérifie le `ID` champ. Si la valeur de `ID` ne correspond pas à un résultat existant, Security Hub CSPM crée un nouveau résultat.
S'il `ID` correspond à un résultat existant, Security Hub CSPM vérifie la mise à jour dans le `UpdatedAt` champ et procède comme suit :
+ Si `UpdatedAt` la mise à jour correspond à la constatation existante ou si elle intervient avant`UpdatedAt`, Security Hub CSPM ignore la demande de mise à jour.
+ Si `UpdatedAt` la mise à jour intervient après `UpdatedAt` le résultat existant, Security Hub CSPM met à jour le résultat existant.
## Restrictions concernant la recherche de mises à jour avec `BatchImportFindings`
Les fournisseurs de recherche ne peuvent pas `BatchImportFindings` les utiliser pour mettre à jour les attributs suivants d'une recherche existante :
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Security Hub CSPM ignore tout contenu fourni dans une `BatchImportFindings` demande pour ces attributs. Les clients, ou les entités agissant en leur nom (tels que les outils de billetterie), peuvent utiliser `BatchUpdateFindings` pour mettre à jour ces attributs.
## Mettre à jour les résultats avec FindingProviderFields
Les fournisseurs de recherche ne doivent pas non plus les utiliser `BatchImportFindings` pour mettre à jour les attributs de haut niveau suivants dans le format ASFF ( AWS Security Finding Format) :
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`
La recherche de fournisseurs doit plutôt utiliser l'[`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)objet pour fournir des valeurs pour ces attributs.
**Exemple**
```
"FindingProviderFields": {
"Confidence": 42,
"Criticality": 99,
"RelatedFindings":[
{
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "123e4567-e89b-12d3-a456-426655440000"
}
],
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```
Pour les `BatchImportFindings` demandes, Security Hub CSPM gère les valeurs des attributs de niveau supérieur et de la manière [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)suivante.
**(Préféré) `BatchImportFindings` fournit une valeur pour un attribut dans [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields), mais ne fournit pas de valeur pour l'attribut de niveau supérieur correspondant.**
Par exemple, `BatchImportFindings` fournit`FindingProviderFields.Confidence`, mais ne fournit pas`Confidence`. Il s'agit de l'option préférée pour les `BatchImportFindings` demandes.
Security Hub CSPM met à jour la valeur de l'attribut dans. `FindingProviderFields`
Il réplique la valeur vers l'attribut de niveau supérieur uniquement si l'attribut n'a pas déjà été mis à jour par. `BatchUpdateFindings`
**`BatchImportFindings`fournit une valeur pour un attribut de niveau supérieur, mais ne fournit pas de valeur pour l'attribut correspondant dans`FindingProviderFields`.**
Par exemple, `BatchImportFindings` fournit`Confidence`, mais ne fournit pas`FindingProviderFields.Confidence`.
Security Hub CSPM utilise la valeur pour mettre à jour l'attribut dans. `FindingProviderFields` Elle remplace toute valeur existante.
Security Hub CSPM met à jour l'attribut de niveau supérieur uniquement s'il n'a pas déjà été mis à jour par. `BatchUpdateFindings`
**`BatchImportFindings`fournit une valeur à la fois pour un attribut de niveau supérieur et pour l'attribut correspondant dans`FindingProviderFields`.**
Par exemple, `BatchImportFindings` fournit à la fois `Confidence` et`FindingProviderFields.Confidence`.
Pour une nouvelle découverte, Security Hub CSPM utilise la valeur in `FindingProviderFields` pour renseigner à la fois l'attribut de niveau supérieur et l'attribut correspondant dans. `FindingProviderFields` Il n'utilise pas la valeur d'attribut de premier niveau fournie.
Pour un résultat existant, Security Hub CSPM utilise les deux valeurs. Toutefois, il met à jour la valeur de l'attribut de niveau supérieur uniquement si l'attribut n'a pas déjà été mis à jour par`BatchUpdateFindings`.
# BatchUpdateFindings pour les clients
AWS Les clients du Security Hub CSPM et les entités agissant en leur nom peuvent utiliser cette [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)opération pour mettre à jour les informations relatives au traitement des résultats du Security Hub CSPM provenant de la recherche de fournisseurs. En tant que client, vous pouvez utiliser cette opération directement. Les outils SIEM, de billetterie, de gestion des incidents et de SOAR peuvent également utiliser cette opération pour le compte d'un client.
Vous ne pouvez pas utiliser cette `BatchUpdateFindings` opération pour créer de nouvelles découvertes. Toutefois, vous pouvez l'utiliser pour mettre à jour jusqu'à 100 résultats existants à la fois. Dans une `BatchUpdateFindings` demande, vous spécifiez les résultats à mettre à jour, les champs du format ASFF ( AWS Security Finding Format) à mettre à jour en fonction des résultats, ainsi que les nouvelles valeurs des champs. Security Hub CSPM met ensuite à jour les résultats comme indiqué dans votre demande. Ce processus peut prendre plusieurs minutes. Si vous mettez à jour les résultats à l'aide de cette `BatchUpdateFindings` opération, vos mises à jour n'affectent pas les valeurs existantes pour le `UpdatedAt` champ des résultats.
Lorsque Security Hub CSPM reçoit une `BatchUpdateFindings` demande de mise à jour d'un résultat, il génère automatiquement un **Security Hub Findings – Imported**événement sur Amazon. EventBridge Vous pouvez éventuellement utiliser cet événement pour effectuer une action automatique sur le résultat spécifié. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md).
## Champs disponibles pour BatchUpdateFindings
Si vous êtes connecté à un compte administrateur Security Hub CSPM, vous pouvez l'utiliser `BatchUpdateFindings` pour mettre à jour les résultats générés par le compte administrateur ou les comptes membres. Les comptes des membres ne peuvent être utilisés `BatchUpdateFindings` que pour mettre à jour les résultats de leur compte.
Les clients peuvent utiliser `BatchUpdateFindings` pour mettre à jour les champs et objets suivants :
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
## Configuration de l'accès à BatchUpdateFindings
Vous pouvez configurer des politiques Gestion des identités et des accès AWS (IAM) afin de restreindre l'accès à l'utilisation pour mettre `BatchUpdateFindings` à jour les champs de recherche et les valeurs des champs.
Dans une instruction pour restreindre l'accès`BatchUpdateFindings`, utilisez les valeurs suivantes :
+ `Action` est `securityhub:BatchUpdateFindings`
+ `Effect` est `Deny`
+ En `Condition` effet, vous pouvez refuser une `BatchUpdateFindings` demande pour les raisons suivantes :
+ Le résultat inclut un champ spécifique.
+ Le résultat inclut une valeur de champ spécifique.
### Clés de condition
Il s'agit des clés de condition permettant de restreindre l'accès à`BatchUpdateFindings`.
**Champ ASFF**
La clé de condition pour un champ ASFF est la suivante :
```
securityhub:ASFFSyntaxPath/
```
Remplacez `` par le champ ASFF. Lorsque vous configurez l'accès à`BatchUpdateFindings`, incluez un ou plusieurs champs ASFF spécifiques dans votre politique IAM plutôt qu'un champ au niveau du parent. Par exemple, pour restreindre l'accès au `Workflow.Status` champ, vous devez l'inclure ` securityhub:ASFFSyntaxPath/Workflow.Status` dans votre politique plutôt que dans le champ au `Workflow` niveau du parent.
### Interdire toutes les mises à jour d'un champ
Pour empêcher un utilisateur de mettre à jour un champ spécifique, utilisez une condition comme celle-ci :
```
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/": "false"
}
}
```
Par exemple, l'énoncé suivant indique que cela ne `BatchUpdateFindings` peut pas être utilisé pour mettre à jour le `Workflow.Status` champ de résultats.
```
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "false"
}
}
}
```
### Interdire des valeurs de champ spécifiques
Pour empêcher un utilisateur de définir une valeur spécifique à un champ, utilisez une condition comme celle-ci :
```
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/": ""
}
}
```
Par exemple, l'instruction suivante indique qu'il n'est pas `BatchUpdateFindings` possible de l'utiliser `Workflow.Status` pour définir sur`SUPPRESSED`.
```
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
```
Vous pouvez également fournir une liste de valeurs interdites.
```
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/": [ "", "", "" ]
}
}
```
Par exemple, l'instruction suivante indique qu'il n'est pas `BatchUpdateFindings` possible de l'utiliser pour définir l'une `RESOLVED` ou `Workflow.Status` l'autre des valeurs`SUPPRESSED`.
```
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": [
"RESOLVED",
"NOTIFIED"
]
}
}
```
# Révision des informations et de l'historique des recherches dans Security Hub CSPM
Dans AWS Security Hub CSPM, un *résultat* est un enregistrement observable d'un contrôle de sécurité ou d'une détection liée à la sécurité. Security Hub CSPM génère un résultat lorsqu'il effectue un contrôle de sécurité d'un contrôle et lorsqu'il ingère un résultat provenant d'un produit intégré Service AWS ou tiers. Chaque constatation inclut un historique des modifications et d'autres détails, tels qu'une note de gravité et des informations sur les ressources concernées.
Vous pouvez consulter l'historique et d'autres détails des résultats individuels sur la console Security Hub CSPM ou par programmation à l'aide de l'API Security Hub CSPM ou du. AWS CLI
Pour vous aider à rationaliser votre analyse, la console Security Hub CSPM affiche un panneau de recherche lorsque vous choisissez un résultat spécifique. Le panneau comprend différents menus et onglets permettant de consulter les détails spécifiques d'une constatation.
**Menu d'actions**
Dans ce menu, vous pouvez consulter le code JSON complet d'une recherche ou ajouter des notes. Une constatation ne peut être associée qu'à une seule note à la fois. Ce menu propose également des options permettant de [définir le statut du flux de travail d'une recherche](findings-workflow-status.md) ou [d'envoyer une constatation à une action personnalisée sur](findings-custom-action.md) Amazon EventBridge.
**Menu Enquêter**
Dans ce menu, vous pouvez rechercher une découverte dans Amazon Detective. Detective extrait des entités, telles que les adresses IP et AWS les utilisateurs, d'une découverte et visualise leur activité. Vous pouvez utiliser l'activité de l'entité comme point de départ pour étudier la cause et l'impact d'un résultat.
**Onglet Overview (Présentation)**
Cet onglet fournit un résumé d'une constatation. Par exemple, vous pouvez déterminer quand un résultat a été créé et mis à jour pour la dernière fois, dans quel compte il existe et quelle est la source du résultat. Pour les résultats des contrôles, cet onglet affiche également le nom de la AWS Config règle associée et un lien vers les instructions de correction figurant dans la documentation Security Hub CSPM.
Dans l'instantané **des ressources** de l'onglet **Vue d'ensemble**, vous pouvez obtenir un bref aperçu des ressources impliquées dans une recherche. Pour certaines ressources, cela inclut une option de **ressource ouverte**, qui renvoie directement à une ressource affectée sur la Service AWS console correspondante. L'instantané de **l'historique** affiche jusqu'à deux modifications apportées au résultat à la date la plus récente pour laquelle l'historique est suivi. Par exemple, si vous avez apporté une modification hier et une autre aujourd'hui, l'instantané montre la modification d'aujourd'hui. Pour consulter les entrées précédentes, passez à l'onglet **Historique**.
La ligne **Conformité** s'agrandit pour afficher plus de détails. Par exemple, si un contrôle inclut des paramètres, vous pouvez consulter les valeurs de paramètres que Security Hub CSPM utilise actuellement lors des contrôles de sécurité du contrôle.
**Onglet Ressources**
Cet onglet fournit des détails sur les ressources impliquées dans une recherche. Si vous êtes connecté au compte propriétaire d'une ressource, vous pouvez consulter la ressource dans la Service AWS console appropriée. Si vous n'êtes pas propriétaire d'une ressource, cet onglet affiche l' Compte AWS identifiant du propriétaire.
La ligne **Détails** affiche les détails spécifiques à la ressource dans une constatation. Il montre la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)section du résultat au format JSON.
La ligne **Tags** indique les clés de balise et les valeurs attribuées aux ressources impliquées dans une recherche. Les ressources [prises en charge par le GetResources fonctionnement](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) de l'API de Groupes de ressources AWS balisage peuvent être étiquetées. Security Hub CSPM appelle cette opération en utilisant un [rôle lié à un service](using-service-linked-roles.md) lors du traitement des résultats nouveaux ou mis à jour, et récupère les balises de ressource si le champ AWS Security Finding Format (ASFF) `Resource.Id` est renseigné avec l'ARN d'une ressource. Security Hub CSPM ignore les ressources non valides. IDs Pour plus d'informations sur l'inclusion de balises de ressources dans les résultats, consultez[Étiquettes](asff-resources-attributes.md#asff-resources-tags).
**Onglet Historique**
Cet onglet permet de suivre l'historique d'une découverte. L'historique des recherches est disponible pour les résultats actifs et archivés. Il fournit une trace immuable des modifications apportées à une découverte au fil du temps, y compris le champ ASFF modifié, le moment où le changement s'est produit et par quel utilisateur. Chaque page de l'onglet affiche jusqu'à 20 modifications. Les modifications les plus récentes sont affichées en premier.
Pour les résultats actifs, l'historique des recherches est disponible pendant 90 jours au maximum. Pour les résultats archivés, l'historique des recherches est disponible pendant 30 jours au maximum. La recherche de l'historique inclut les modifications effectuées manuellement ou automatiquement par les règles d'[automatisation du Security Hub CSPM](automation-rules.md). Il n'inclut pas les modifications apportées aux champs d'horodatage de haut niveau, tels que les `CreatedAt` champs et. `UpdatedAt`
Si vous êtes connecté à un compte administrateur Security Hub CSPM, l'historique des recherches concerne le compte administrateur et tous les comptes membres.
**Onglet Menace**
Cet onglet inclut des données provenant du [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html), et [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html)des objets de l'ASFF, notamment le type de menace et si une ressource est la cible ou l'acteur. Ces informations s'appliquent généralement aux résultats provenant d'Amazon GuardDuty.
**onglet Vulnérabilités**
Cet onglet affiche les données relatives à l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html)objet de l'ASFF, notamment s'il existe des exploits ou des correctifs disponibles associés à une découverte. Ces informations s'appliquent généralement aux résultats provenant d'Amazon Inspector.
Les lignes de chaque onglet incluent une option de copie ou de filtre. Par exemple, si vous ouvrez le panneau pour afficher une découverte dont le statut du flux de travail est **Notifié**, vous pouvez choisir l'option de filtre à côté de la ligne d'**état du flux** de travail. Si vous choisissez **Afficher tous les résultats avec cette valeur**, Security Hub CSPM filtre le tableau des résultats et affiche uniquement les résultats ayant le même statut de flux de travail.
## Révision des détails des recherches et de l'historique
Choisissez votre méthode préférée et suivez les étapes pour consulter les informations de recherche dans Security Hub CSPM.
Si vous activez l'agrégation entre régions et que vous vous connectez à la région d'agrégation, la recherche de données inclut les données provenant de la région d'agrégation et des régions liées. Dans d'autres régions, la recherche de données est spécifique à cette région uniquement. Pour plus d'informations sur l'agrégation entre régions, consultez[Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
------
#### [ Security Hub CSPM console ]
**Révision des détails des recherches et de l'historique**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Pour afficher une liste de recherche, effectuez l'une des opérations suivantes :
+ Dans le volet de navigation, choisissez **Conclusions**. Ajoutez des filtres de recherche si nécessaire pour affiner la liste de recherche.
+ Dans le panneau de navigation, choisissez **Insights**. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.
+ Dans le volet de navigation, choisissez **Intégrations**. Choisissez **Voir les résultats** pour une intégration.
+ Dans le volet de navigation, choisissez **Controls**.
1. Choisissez un résultat. Le panneau de recherche affiche les détails de la recherche.
1. Dans le panneau de recherche, effectuez l'une des opérations suivantes :
+ Pour consulter les détails spécifiques de la recherche, choisissez un onglet.
+ Pour agir sur la base du résultat, choisissez une option dans le menu **Actions**.
+ Pour étudier le résultat dans Amazon Detective, choisissez une option **Investiguer**.
**Note**
Si vous effectuez une intégration AWS Organizations et que vous êtes connecté à un compte membre, le panneau de recherche inclut le nom du compte. Pour les comptes de membres invités manuellement, plutôt que via Organizations, le panneau de recherche inclut uniquement l'identifiant du compte.
------
#### [ Security Hub CSPM API ]
Utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)fonctionnement de l'API Security Hub CSPM ou, si vous l'utilisez AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html)commande. Vous pouvez fournir une ou plusieurs valeurs pour le `Filters` paramètre afin d'affiner les résultats à récupérer.
Si le volume de résultats est trop important, vous pouvez utiliser le `MaxResults` paramètre pour limiter les résultats à un nombre spécifié et le `NextToken` paramètre pour paginer les résultats. Utilisez le `SortCriteria` paramètre pour trier les résultats selon un champ spécifique.
Par exemple, la AWS CLI commande suivante récupère les résultats correspondant aux critères de filtre spécifiés et trie les résultats par ordre décroissant par champ. `LastObservedAt` Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```
Pour consulter l'historique des recherches, utilisez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html)opération. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html)commande. Identifiez le résultat dont vous souhaitez obtenir un historique à l'aide des `Id` champs `ProductArn` et. Pour obtenir des informations sur ces champs, consultez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html). Chaque demande ne peut récupérer l'historique que pour une seule recherche.
Par exemple, la AWS CLI commande suivante permet de récupérer l'historique du résultat spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```
------
#### [ PowerShell ]
Utilisez l’applet de commande `Get-SHUBFinding`. Renseignez éventuellement le `Filter` paramètre pour affiner les résultats à récupérer.
Par exemple, l'applet de commande suivante extrait les résultats correspondant aux filtres spécifiés.
```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```
------
**Note**
Si vous filtrez les résultats par `CompanyName` ou`ProductName`, Security Hub CSPM utilise les valeurs qui font partie de l'objet `ProductFields` ASFF. Security Hub CSPM n'utilise pas le niveau supérieur et les champs. `CompanyName` `ProductName`
# Filtrer les résultats dans Security Hub CSPM
AWS Security Hub CSPM génère ses propres résultats à partir des contrôles de sécurité et reçoit les résultats des produits intégrés. Vous pouvez afficher une liste des résultats sur les pages **Résultats**, **Intégrations** et **Insights** de la console Security Hub CSPM. Vous pouvez ajouter des filtres pour affiner une liste de recherche afin qu'elle soit adaptée à votre organisation ou à votre cas d'utilisation.
Pour plus d'informations sur le filtrage des résultats pour un contrôle de sécurité spécifique, consultez[Résultats des contrôles de filtrage et de tri](control-finding-list.md). Les informations de cette page s'appliquent aux pages **Résultats**, **Perspectives** et **Intégrations**.
## Filtres par défaut pour rechercher des listes
Par défaut, les listes de recherche sur la console Security Hub CSPM sont filtrées en fonction des `Workflow.Status` champs `RecordState` et du format ASFF ( AWS Security Finding Format). Cela s'ajoute aux filtres destinés à un aperçu ou à une intégration spécifique.
L'état de l'enregistrement indique si une découverte est active ou archivée. Par défaut, une liste de résultats affiche uniquement les résultats actifs. Un fournisseur de recherche peut archiver une recherche si elle n'est plus active ou si elle n'est plus importante. Security Hub CSPM archive également automatiquement les résultats des contrôles si la ressource associée est supprimée.
L'état du flux de travail indique l'état d'une enquête sur un résultat. Par défaut, une liste de résultats affiche uniquement ceux dont l’état du flux de travail est `NEW` ou `NOTIFIED`. Vous pouvez mettre à jour le statut du flux de travail d'une constatation.
## Instructions pour ajouter des filtres
Vous pouvez filtrer une liste de recherche en fonction d'un maximum de dix attributs. Pour chaque attribut, vous pouvez fournir jusqu'à 20 valeurs de filtre.
Lors du filtrage de la liste de recherche, Security Hub CSPM applique une `AND` logique à l'ensemble de filtres. Un résultat ne correspond que s'il correspond à tous les filtres fournis. Par exemple, si vous ajoutez GuardDuty un filtre pour le **nom du produit** et `AwsS3Bucket` un filtre pour le **type de ressource**, Security Hub CSPM affiche les résultats correspondant à ces deux critères.
Security Hub CSPM applique une `OR` logique aux filtres qui utilisent le même attribut mais des valeurs différentes. Par exemple, si vous ajoutez les deux GuardDuty et Amazon Inspector comme valeurs de filtre pour le **nom du produit**, Security Hub CSPM affiche les résultats générés par Amazon Inspector GuardDuty ou par Amazon Inspector.
**Pour ajouter des filtres à une liste de résultats (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Pour afficher la liste des résultats, effectuez l'une des actions suivantes dans le volet de navigation :
+ Choisissez **Findings**.
+ Choisissez **Informations**. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.
+ Choisissez **Integrations (Intégrations)**. Choisissez **Voir les résultats** pour une intégration.
1. Dans la zone **Ajouter des filtres**, sélectionnez un ou plusieurs champs à filtrer.
Lorsque vous filtrez par **nom de société** ou par **nom de produit**, la console utilise le niveau supérieur `CompanyName` et `ProductName` les champs du format ASFF ( AWS Security Finding Format). L'API utilise les valeurs imbriquées ci-dessous. `ProductFields`
1. Choisissez le type de correspondance de filtre.
Pour un filtre de chaîne, vous pouvez choisir l'une des options suivantes :
+ **is** — Trouvez une valeur qui correspond exactement à la valeur du filtre.
+ **commence par** — Trouvez une valeur qui commence par la valeur du filtre.
+ **n'est pas** — Trouvez une valeur qui ne correspond pas à la valeur du filtre.
+ **ne commence pas par** — Trouvez une valeur qui ne commence pas par la valeur du filtre.
Pour le champ **Balises de ressources**, vous pouvez filtrer en fonction de clés ou de valeurs spécifiques.
Pour un filtre numérique, vous pouvez choisir de fournir un nombre unique (**Simple**) ou une plage de nombres (**Range**).
Pour un filtre de date ou d'heure, vous pouvez choisir de fournir une durée à partir de la date et de l'heure actuelles (**fenêtre mobile**) ou d'une plage de dates spécifique (**plage fixe**).
L'ajout de plusieurs filtres entraîne les interactions suivantes :
+ **est** et **commence par** : les filtres sont joints par OR. Une valeur correspond si elle contient l'une des valeurs du filtre. Par exemple, si vous spécifiez que l'**étiquette de gravité est CRITIQUE** et que **l'étiquette de gravité est ÉLEVÉE**, les résultats incluent à la fois des résultats critiques et des résultats de gravité élevée.
+ **n'est pas** et **ne commence pas par** : les filtres sont joints par AND. Une valeur correspond uniquement si elle ne contient aucune de ces valeurs de filtre. Par exemple, si vous spécifiez que **l'étiquette de gravité n'est pas FAIBLE** et que **l'étiquette de gravité n'est pas MOYENNE**, les résultats n'incluent pas les résultats de gravité faible ou moyenne.
Si vous avez un filtre « **est** » sur un champ, vous ne pouvez pas avoir de filtre « **n'est pas** » ou « **ne commence pas par** » sur le même champ.
1. Spécifiez la valeur du filtre. Pour les filtres de chaîne, la valeur du filtre distingue les majuscules et minuscules.
1. Cliquez sur **Appliquer**.
Pour un filtre existant, vous pouvez modifier le type ou la valeur de correspondance du filtre. Dans une liste de recherche filtrée, choisissez le filtre. Dans la zone **Modifier le filtre**, choisissez le nouveau type ou la nouvelle valeur de correspondance, puis choisissez **Appliquer**.
Pour supprimer un filtre, cliquez sur l'icône **X.** La liste est mise à jour automatiquement pour refléter le changement.
# Regroupement des résultats dans Security Hub CSPM
Vous pouvez regrouper les résultats dans AWS Security Hub CSPM en fonction des valeurs d'un attribut sélectionné.
Lorsque vous regroupez les résultats, la liste des résultats est remplacée par une liste de valeurs pour l'attribut sélectionné dans les résultats correspondants. Pour chaque valeur, la liste affiche le nombre de résultats correspondants.
Par exemple, si vous regroupez les résultats par Compte AWS identifiant, vous verrez une liste d'identifiants de compte, avec le nombre de résultats correspondants pour chaque compte.
Security Hub CSPM peut afficher jusqu'à 100 valeurs pour un attribut sélectionné. S'il y a plus de 100 valeurs, seules les 100 premières s'affichent.
Lorsque vous choisissez une valeur d'attribut, Security Hub CSPM affiche la liste des résultats correspondants pour cette valeur.
**Pour regrouper les résultats dans une liste de résultats (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Pour afficher la liste des résultats, effectuez l'une des actions suivantes dans le volet de navigation :
+ Choisissez **Findings**.
+ Choisissez **Informations**. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.
+ Choisissez **Integrations (Intégrations)**. Choisissez **Voir les résultats** pour une intégration.
1. Dans le menu déroulant **Regrouper par**, choisissez l'attribut à utiliser pour le regroupement.
Pour supprimer un attribut de regroupement, cliquez sur l'icône **X.** Lorsque vous supprimez l'attribut de regroupement, la liste passe de la liste des valeurs d'attribut à une liste de résultats.
# Configuration de l'état des résultats du flux de travail dans Security Hub CSPM
L'état du flux de travail permet de suivre la progression de votre enquête jusqu'à l'obtention d'un résultat. L'état du flux de travail est spécifique à une découverte individuelle et n'affecte pas la génération de nouvelles découvertes. Par exemple, si vous modifiez le statut du flux de travail d'un résultat en `SUPPRESSED` ou`RESOLVED`, votre modification n'empêche pas Security Hub CSPM de générer un nouveau résultat pour le même problème.
L'état d'une recherche dans le flux de travail peut être l'une des valeurs suivantes.
**NOUVEAU**
État initial d'un résultat avant que vous ne l'examiniez.
Les résultats qui sont ingérés à partir d'un système intégré Services AWS AWS Config, par exemple, ont `NEW` pour statut initial.
Security Hub CSPM réinitialise également l'état du flux de travail de l'un `NOTIFIED` ou de l'autre `NEW` dans `RESOLVED` les cas suivants :
+ `RecordState`change de `ARCHIVED` à`ACTIVE`.
+ `Compliance.Status`change de `PASSED` à `FAILED``WARNING`, ou`NOT_AVAILABLE`.
Ces modifications impliquent qu'une enquête supplémentaire est requise.
**AVERTI**
Indique que vous avez informé le propriétaire de la ressource du problème de sécurité. Vous pouvez utiliser cet état lorsque vous n'êtes pas le propriétaire de la ressource et que vous avez besoin de son intervention pour résoudre un problème de sécurité.
Dans l'une des situations suivantes, le statut du flux de travail passe automatiquement de `NOTIFIED` à `NEW` :
+ `RecordState`change de `ARCHIVED` à`ACTIVE`.
+ `Compliance.Status`change de `PASSED` à `FAILED``WARNING`, ou`NOT_AVAILABLE`.
**SUPPRIMÉ**
Indique que vous avez examiné le résultat et que vous pensez qu'aucune action n'est nécessaire.
L'état du flux de travail d'une `SUPPRESSED` recherche ne change pas si la `RecordState` valeur passe de `ARCHIVED` à`ACTIVE`.
**RÉSOLU**
Le résultat a été examiné et corrigé. Il est maintenant considéré comme résolu.
Le résultat demeure `RESOLVED` sauf si l'une des situations suivantes se produit :
+ `RecordState`change de `ARCHIVED` à`ACTIVE`.
+ `Compliance.Status`change de `PASSED` à `FAILED``WARNING`, ou`NOT_AVAILABLE`.
Dans ces cas, le statut du flux de travail est automatiquement redéfini à`NEW`.
Si tel `Compliance.Status` est le cas`PASSED`, Security Hub CSPM définit automatiquement le statut du flux de travail sur. `RESOLVED`
## Définition de l'état des résultats dans le flux de travail
Pour modifier l'état du flux de travail d'un ou de plusieurs résultats, vous pouvez utiliser la console Security Hub CSPM ou l'API Security Hub CSPM. Si vous modifiez l'état du flux de travail d'un résultat, notez que Security Hub CSPM peut prendre plusieurs minutes pour traiter votre demande et mettre à jour le résultat.
**Astuce**
Vous pouvez également modifier automatiquement l'état du flux de travail des résultats à l'aide de règles d'automatisation. Avec les règles d'automatisation, vous configurez Security Hub CSPM pour mettre à jour automatiquement l'état des résultats du flux de travail en fonction des critères que vous spécifiez. Pour de plus amples informations, veuillez consulter [Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Pour modifier le statut du flux de travail d'un ou de plusieurs résultats, choisissez votre méthode préférée et suivez les étapes.
------
#### [ Security Hub CSPM console ]
**Pour modifier le statut des résultats dans le flux de travail**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, effectuez l'une des opérations suivantes pour afficher un tableau des résultats :
+ Choisissez **Findings**.
+ Choisissez **Informations**. Choisissez ensuite un aperçu. Dans les résultats d'aperçu, choisissez un résultat.
+ Choisissez **Integrations (Intégrations)**. Ensuite, dans la section consacrée à l'intégration, sélectionnez **Voir les résultats**.
+ Choisissez les **normes de sécurité**. Ensuite, dans la section relative à la norme, choisissez **Afficher les résultats**. Dans le tableau des contrôles, choisissez un contrôle pour afficher les résultats du contrôle.
1. Dans le tableau des résultats, cochez la case correspondant à chaque résultat dont vous souhaitez modifier le statut du flux de travail.
1. En haut de la page, choisissez **État du flux** de travail, puis choisissez le nouveau statut du flux de travail pour les résultats sélectionnés.
1. Dans la boîte de dialogue **Définir le statut du flux** de travail, entrez éventuellement une note détaillant la raison de la modification du statut du flux de travail. Choisissez ensuite **Définir le statut**.
------
#### [ Security Hub CSPM API ]
Utilisez l'[BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)opération. Indiquez à la fois l'ID de recherche et l'ARN du produit à l'origine de la recherche. Vous pouvez obtenir ces informations en utilisant l'[GetFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)opération.
------
#### [ AWS CLI ]
Exécutez la commande [batch-update-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-findings.html). Indiquez à la fois l'ID de recherche et l'ARN du produit à l'origine de la recherche. Vous pouvez obtenir ces informations en exécutant la commande [get-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html).
```
batch-update-findings --finding-identifiers Id="",ProductArn="" --workflow Status=""
```
**Exemple**
```
aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"
```
------
# Envoi des résultats à une action Security Hub CSPM personnalisée
Vous pouvez créer des actions personnalisées AWS Security Hub CSPM pour automatiser Security Hub CSPM avec Amazon. EventBridge Pour les actions personnalisées, le type d'événement est **Security Hub Findings - Custom Action**. Après avoir configuré une action personnalisée, vous pouvez lui envoyer des résultats. Pour de plus amples informations et pour obtenir des instructions complètes sur la création des actions personnalisées, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md).
**Pour envoyer les résultats à une action personnalisée (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Pour afficher une liste de recherche, effectuez l'une des opérations suivantes :
+ **Dans le volet de navigation Security Hub CSPM, sélectionnez Findings.**
+ **Dans le volet de navigation Security Hub CSPM, sélectionnez Insights.** Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.
+ **Dans le volet de navigation Security Hub CSPM, sélectionnez Integrations.** Choisissez **Voir les résultats** pour une intégration.
+ Dans le volet de navigation Security Hub CSPM, sélectionnez **Security** standards. Choisissez **Afficher les résultats** pour afficher la liste des contrôles. Choisissez ensuite le nom du contrôle.
1. Dans la liste des résultats, cochez la case correspondant à chaque résultat à envoyer à l'action personnalisée.
Vous pouvez envoyer jusqu'à 20 résultats à la fois.
1. Pour **Actions**, choisissez l'action personnalisée.
# AWS Format de recherche de sécurité (ASFF)
AWS Security Hub CSPM utilise et agrège les résultats des produits intégrés Services AWS et tiers. Security Hub CSPM traite ces résultats à l'aide d'un format de résultats standard appelé *AWS Security Finding Format (ASFF)*, qui élimine les fastidieux efforts de conversion de données.
Cette page fournit un aperçu complet du JSON pour une recherche au format ASFF ( AWS Security Finding Format). Le format provient du [schéma JSON](https://json-schema.org/). Choisissez le nom d'un objet lié pour consulter un exemple de recherche pour cet objet. La comparaison des résultats de votre Security Hub CSPM avec les ressources et les exemples présentés ici peut vous aider à interpréter vos résultats.
Pour les descriptions des attributs ASFF individuels, reportez-vous aux sections [Attributs ASFF de haut niveau requis](asff-required-attributes.md) et[Attributs ASFF de haut niveau facultatifs](asff-top-level-attributes.md).
```
"Findings": [
{
"Action": {
"ActionType": "string",
"AwsApiCallAction": {
"AffectedResources": {
"string": "string"
},
"Api": "string",
"CallerType": "string",
"DomainDetails": {
"Domain": "string"
},
"FirstSeen": "string",
"LastSeen": "string",
"RemoteIpDetails": {
"City": {
"CityName": "string"
},
"Country": {
"CountryCode": "string",
"CountryName": "string"
},
"IpAddressV4": "string",
"Geolocation": {
"Lat": number,
"Lon": number
},
"Organization": {
"Asn": number,
"AsnOrg": "string",
"Isp": "string",
"Org": "string"
}
},
"ServiceName": "string"
},
"DnsRequestAction": {
"Blocked": boolean,
"Domain": "string",
"Protocol": "string"
},
"NetworkConnectionAction": {
"Blocked": boolean,
"ConnectionDirection": "string",
"LocalPortDetails": {
"Port": number,
"PortName": "string"
},
"Protocol": "string",
"RemoteIpDetails": {
"City": {
"CityName": "string"
},
"Country": {
"CountryCode": "string",
"CountryName": "string"
},
"IpAddressV4": "string",
"Geolocation": {
"Lat": number,
"Lon": number
},
"Organization": {
"Asn": number,
"AsnOrg": "string",
"Isp": "string",
"Org": "string"
}
},
"RemotePortDetails": {
"Port": number,
"PortName": "string"
}
},
"PortProbeAction": {
"Blocked": boolean,
"PortProbeDetails": [{
"LocalIpDetails": {
"IpAddressV4": "string"
},
"LocalPortDetails": {
"Port": number,
"PortName": "string"
},
"RemoteIpDetails": {
"City": {
"CityName": "string"
},
"Country": {
"CountryCode": "string",
"CountryName": "string"
},
"GeoLocation": {
"Lat": number,
"Lon": number
},
"IpAddressV4": "string",
"Organization": {
"Asn": number,
"AsnOrg": "string",
"Isp": "string",
"Org": "string"
}
}
}]
}
},
"AwsAccountId": "string",
"AwsAccountName": "string",
"CompanyName": "string",
"Compliance": {
"AssociatedStandards": [{
"StandardsId": "string"
}],
"RelatedRequirements": ["string"],
"SecurityControlId": "string",
"SecurityControlParameters": [
{
"Name": "string",
"Value": ["string"]
}
],
"Status": "string",
"StatusReasons": [
{
"Description": "string",
"ReasonCode": "string"
}
]
},
"Confidence": number,
"CreatedAt": "string",
"Criticality": number,
"Description": "string",
"Detection": {
"Sequence": {
"Uid": "string",
"Actors": [{
"Id": "string",
"Session": {
"Uid": "string",
"MfAStatus": "string",
"CreatedTime": "string",
"Issuer": "string"
},
"User": {
"CredentialUid": "string",
"Name": "string",
"Type": "string",
"Uid": "string",
"Account": {
"Uid": "string",
"Name": "string"
}
}
}],
"Endpoints": [{
"Id": "string",
"Ip": "string",
"Domain": "string",
"Port": number,
"Location": {
"City": "string",
"Country": "string",
"Lat": number,
"Lon": number
},
"AutonomousSystem": {
"Name": "string",
"Number": number
},
"Connection": {
"Direction": "string"
}
}],
"Signals": [{
"Id": "string",
"Title": "string",
"ActorIds": ["string"],
"Count": number,
"FirstSeenAt": number,
"SignalIndicators": [
{
"Key": "string",
"Title": "string",
"Values": ["string"]
},
{
"Key": "string",
"Title": "string",
"Values": ["string"]
}
],
"LastSeenAt": number,
"Name": "string",
"ResourceIds": ["string"],
"Type": "string"
}],
"SequenceIndicators": [
{
"Key": "string",
"Title": "string",
"Values": ["string"]
},
{
"Key": "string",
"Title": "string",
"Values": ["string"]
}
]
}
},
"FindingProviderFields": {
"Confidence": number,
"Criticality": number,
"RelatedFindings": [{
"ProductArn": "string",
"Id": "string"
}],
"Severity": {
"Label": "string",
"Normalized": number,
"Original": "string"
},
"Types": ["string"]
},
"FirstObservedAt": "string",
"GeneratorId": "string",
"Id": "string",
"LastObservedAt": "string",
"Malware": [{
"Name": "string",
"Path": "string",
"State": "string",
"Type": "string"
}],
"Network": {
"DestinationDomain": "string",
"DestinationIpV4": "string",
"DestinationIpV6": "string",
"DestinationPort": number,
"Direction": "string",
"OpenPortRange": {
"Begin": integer,
"End": integer
},
"Protocol": "string",
"SourceDomain": "string",
"SourceIpV4": "string",
"SourceIpV6": "string",
"SourceMac": "string",
"SourcePort": number
},
"NetworkPath": [{
"ComponentId": "string",
"ComponentType": "string",
"Egress": {
"Destination": {
"Address": ["string"],
"PortRanges": [{
"Begin": integer,
"End": integer
}]
},
"Protocol": "string",
"Source": {
"Address": ["string"],
"PortRanges": [{
"Begin": integer,
"End": integer
}]
}
},
"Ingress": {
"Destination": {
"Address": ["string"],
"PortRanges": [{
"Begin": integer,
"End": integer
}]
},
"Protocol": "string",
"Source": {
"Address": ["string"],
"PortRanges": [{
"Begin": integer,
"End": integer
}]
}
}
}],
"Note": {
"Text": "string",
"UpdatedAt": "string",
"UpdatedBy": "string"
},
"PatchSummary": {
"FailedCount": number,
"Id": "string",
"InstalledCount": number,
"InstalledOtherCount": number,
"InstalledPendingReboot": number,
"InstalledRejectedCount": number,
"MissingCount": number,
"Operation": "string",
"OperationEndTime": "string",
"OperationStartTime": "string",
"RebootOption": "string"
},
"Process": {
"LaunchedAt": "string",
"Name": "string",
"ParentPid": number,
"Path": "string",
"Pid": number,
"TerminatedAt": "string"
},
"ProductArn": "string",
"ProductFields": {
"string": "string"
},
"ProductName": "string",
"RecordState": "string",
"Region": "string",
"RelatedFindings": [{
"Id": "string",
"ProductArn": "string"
}],
"Remediation": {
"Recommendation": {
"Text": "string",
"Url": "string"
}
},
"Resources": [{
"ApplicationArn": "string",
"ApplicationName": "string",
"DataClassification": {
"DetailedResultsLocation": "string",
"Result": {
"AdditionalOccurrences": boolean,
"CustomDataIdentifiers": {
"Detections": [{
"Arn": "string",
"Count": integer,
"Name": "string",
"Occurrences": {
"Cells": [{
"CellReference": "string",
"Column": integer,
"ColumnName": "string",
"Row": integer
}],
"LineRanges": [{
"End": integer,
"Start": integer,
"StartColumn": integer
}],
"OffsetRanges": [{
"End": integer,
"Start": integer,
"StartColumn": integer
}],
"Pages": [{
"LineRange": {
"End": integer,
"Start": integer,
"StartColumn": integer
},
"OffsetRange": {
"End": integer,
"Start": integer,
"StartColumn": integer
},
"PageNumber": integer
}],
"Records": [{
"JsonPath": "string",
"RecordIndex": integer
}]
}
}],
"TotalCount": integer
},
"MimeType": "string",
"SensitiveData": [{
"Category": "string",
"Detections": [{
"Count": integer,
"Occurrences": {
"Cells": [{
"CellReference": "string",
"Column": integer,
"ColumnName": "string",
"Row": integer
}],
"LineRanges": [{
"End": integer,
"Start": integer,
"StartColumn": integer
}],
"OffsetRanges": [{
"End": integer,
"Start": integer,
"StartColumn": integer
}],
"Pages": [{
"LineRange": {
"End": integer,
"Start": integer,
"StartColumn": integer
},
"OffsetRange": {
"End": integer,
"Start": integer,
"StartColumn": integer
},
"PageNumber": integer
}],
"Records": [{
"JsonPath": "string",
"RecordIndex": integer
}]
},
"Type": "string"
}],
"TotalCount": integer
}],
"SizeClassified": integer,
"Status": {
"Code": "string",
"Reason": "string"
}
}
},
"Details": {
"AwsAmazonMQBroker": {
"AutoMinorVersionUpgrade": boolean,
"BrokerArn": "string",
"BrokerId": "string",
"BrokerName": "string",
"Configuration": {
"Id": "string",
"Revision": integer
},
"DeploymentMode": "string",
"EncryptionOptions": {
"UseAwsOwnedKey": boolean
},
"EngineType": "string",
"EngineVersion": "string",
"HostInstanceType": "string",
"Logs": {
"Audit": boolean,
"AuditLogGroup": "string",
"General": boolean,
"GeneralLogGroup": "string"
},
"MaintenanceWindowStartTime": {
"DayOfWeek": "string",
"TimeOfDay": "string",
"TimeZone": "string"
},
"PubliclyAccessible": boolean,
"SecurityGroups": [
"string"
],
"StorageType": "string",
"SubnetIds": [
"string",
"string"
],
"Users": [{
"Username": "string"
}]
},
"AwsApiGatewayRestApi": {
"ApiKeySource": "string",
"BinaryMediaTypes": [" string"],
"CreatedDate": "string",
"Description": "string",
"EndpointConfiguration": {
"Types": ["string"]
},
"Id": "string",
"MinimumCompressionSize": number,
"Name": "string",
"Version": "string"
},
"AwsApiGatewayStage": {
"AccessLogSettings": {
"DestinationArn": "string",
"Format": "string"
},
"CacheClusterEnabled": boolean,
"CacheClusterSize": "string",
"CacheClusterStatus": "string",
"CanarySettings": {
"DeploymentId": "string",
"PercentTraffic": number,
"StageVariableOverrides": [{
"string": "string"
}],
"UseStageCache": boolean
},
"ClientCertificateId": "string",
"CreatedDate": "string",
"DeploymentId": "string",
"Description": "string",
"DocumentationVersion": "string",
"LastUpdatedDate": "string",
"MethodSettings": [{
"CacheDataEncrypted": boolean,
"CachingEnabled": boolean,
"CacheTtlInSeconds": number,
"DataTraceEnabled": boolean,
"HttpMethod": "string",
"LoggingLevel": "string",
"MetricsEnabled": boolean,
"RequireAuthorizationForCacheControl": boolean,
"ResourcePath": "string",
"ThrottlingBurstLimit": number,
"ThrottlingRateLimit": number,
"UnauthorizedCacheControlHeaderStrategy": "string"
}],
"StageName": "string",
"TracingEnabled": boolean,
"Variables": {
"string": "string"
},
"WebAclArn": "string"
},
"AwsApiGatewayV2Api": {
"ApiEndpoint": "string",
"ApiId": "string",
"ApiKeySelectionExpression": "string",
"CorsConfiguration": {
"AllowCredentials": boolean,
"AllowHeaders": ["string"],
"AllowMethods": ["string"],
"AllowOrigins": ["string"],
"ExposeHeaders": ["string"],
"MaxAge": number
},
"CreatedDate": "string",
"Description": "string",
"Name": "string",
"ProtocolType": "string",
"RouteSelectionExpression": "string",
"Version": "string"
},
"AwsApiGatewayV2Stage": {
"AccessLogSettings": {
"DestinationArn": "string",
"Format": "string"
},
"ApiGatewayManaged": boolean,
"AutoDeploy": boolean,
"ClientCertificateId": "string",
"CreatedDate": "string",
"DefaultRouteSettings": {
"DataTraceEnabled": boolean,
"DetailedMetricsEnabled": boolean,
"LoggingLevel": "string",
"ThrottlingBurstLimit": number,
"ThrottlingRateLimit": number
},
"DeploymentId": "string",
"Description": "string",
"LastDeploymentStatusMessage": "string",
"LastUpdatedDate": "string",
"RouteSettings": {
"DetailedMetricsEnabled": boolean,
"LoggingLevel": "string",
"DataTraceEnabled": boolean,
"ThrottlingBurstLimit": number,
"ThrottlingRateLimit": number
},
"StageName": "string",
"StageVariables": [{
"string": "string"
}]
},
"AwsAppSyncGraphQLApi": {
"AwsAppSyncGraphQlApi": {
"AdditionalAuthenticationProviders": [
{
"AuthenticationType": "string",
"LambdaAuthorizerConfig": {
"AuthorizerResultTtlInSeconds": integer,
"AuthorizerUri": "string"
}
},
{
"AuthenticationType": "string"
}
],
"ApiId": "string",
"Arn": "string",
"AuthenticationType": "string",
"Id": "string",
"LogConfig": {
"CloudWatchLogsRoleArn": "string",
"ExcludeVerboseContent": boolean,
"FieldLogLevel": "string"
},
"Name": "string",
"XrayEnabled": boolean
}
},
"AwsAthenaWorkGroup": {
"Description": "string",
"Name": "string",
"WorkgroupConfiguration": {
"ResultConfiguration": {
"EncryptionConfiguration": {
"EncryptionOption": "string",
"KmsKey": "string"
}
}
},
"State": "string"
},
"AwsAutoScalingAutoScalingGroup": {
"AvailabilityZones": [{
"Value": "string"
}],
"CreatedTime": "string",
"HealthCheckGracePeriod": integer,
"HealthCheckType": "string",
"LaunchConfigurationName": "string",
"LoadBalancerNames": ["string"],
"LaunchTemplate": {
"LaunchTemplateId": "string",
"LaunchTemplateName": "string",
"Version": "string"
},
"MixedInstancesPolicy": {
"InstancesDistribution": {
"OnDemandAllocationStrategy": "string",
"OnDemandBaseCapacity": number,
"OnDemandPercentageAboveBaseCapacity": number,
"SpotAllocationStrategy": "string",
"SpotInstancePools": number,
"SpotMaxPrice": "string"
},
"LaunchTemplate": {
"LaunchTemplateSpecification": {
"LaunchTemplateId": "string",
"LaunchTemplateName": "string",
"Version": "string"
},
"CapacityRebalance": boolean,
"Overrides": [{
"InstanceType": "string",
"WeightedCapacity": "string"
}]
}
}
},
"AwsAutoScalingLaunchConfiguration": {
"AssociatePublicIpAddress": boolean,
"BlockDeviceMappings": [{
"DeviceName": "string",
"Ebs": {
"DeleteOnTermination": boolean,
"Encrypted": boolean,
"Iops": number,
"SnapshotId": "string",
"VolumeSize": number,
"VolumeType": "string"
},
"NoDevice": boolean,
"VirtualName": "string"
}],
"ClassicLinkVpcId": "string",
"ClassicLinkVpcSecurityGroups": ["string"],
"CreatedTime": "string",
"EbsOptimized": boolean,
"IamInstanceProfile": "string"
},
"ImageId": "string",
"InstanceMonitoring": {
"Enabled": boolean
},
"InstanceType": "string",
"KernelId": "string",
"KeyName": "string",
"LaunchConfigurationName": "string",
"MetadataOptions": {
"HttpEndPoint": "string",
"HttpPutReponseHopLimit": number,
"HttpTokens": "string"
},
"PlacementTenancy": "string",
"RamdiskId": "string",
"SecurityGroups": ["string"],
"SpotPrice": "string",
"UserData": "string"
},
"AwsBackupBackupPlan": {
"BackupPlan": {
"AdvancedBackupSettings": [{
"BackupOptions": {
"WindowsVSS":"string"
},
"ResourceType":"string"
}],
"BackupPlanName": "string",
"BackupPlanRule": [{
"CompletionWindowMinutes": integer,
"CopyActions": [{
"DestinationBackupVaultArn": "string",
"Lifecycle": {
"DeleteAfterDays": integer,
"MoveToColdStorageAfterDays": integer
}
}],
"Lifecycle": {
"DeleteAfterDays": integer
},
"RuleName": "string",
"ScheduleExpression": "string",
"StartWindowMinutes": integer,
"TargetBackupVault": "string"
}]
},
"BackupPlanArn": "string",
"BackupPlanId": "string",
"VersionId": "string"
},
"AwsBackupBackupVault": {
"AccessPolicy": {
"Statement": [{
"Action": ["string"],
"Effect": "string",
"Principal": {
"AWS": "string"
},
"Resource": "string"
}],
"Version": "string"
},
"BackupVaultArn": "string",
"BackupVaultName": "string",
"EncryptionKeyArn": "string",
"Notifications": {
"BackupVaultEvents": ["string"],
"SNSTopicArn": "string"
}
},
"AwsBackupRecoveryPoint": {
"BackupSizeInBytes": integer,
"BackupVaultName": "string",
"BackupVaultArn": "string",
"CalculatedLifecycle": {
"DeleteAt": "string",
"MoveToColdStorageAt": "string"
},
"CompletionDate": "string",
"CreatedBy": {
"BackupPlanArn": "string",
"BackupPlanId": "string",
"BackupPlanVersion": "string",
"BackupRuleId": "string"
},
"CreationDate": "string",
"EncryptionKeyArn": "string",
"IamRoleArn": "string",
"IsEncrypted": boolean,
"LastRestoreTime": "string",
"Lifecycle": {
"DeleteAfterDays": integer,
"MoveToColdStorageAfterDays": integer
},
"RecoveryPointArn": "string",
"ResourceArn": "string",
"ResourceType": "string",
"SourceBackupVaultArn": "string",
"Status": "string",
"StatusMessage": "string",
"StorageClass": "string"
},
"AwsCertificateManagerCertificate": {
"CertificateAuthorityArn": "string",
"CreatedAt": "string",
"DomainName": "string",
"DomainValidationOptions": [{
"DomainName": "string",
"ResourceRecord": {
"Name": "string",
"Type": "string",
"Value": "string"
},
"ValidationDomain": "string",
"ValidationEmails": ["string"],
"ValidationMethod": "string",
"ValidationStatus": "string"
}],
"ExtendedKeyUsages": [{
"Name": "string",
"OId": "string"
}],
"FailureReason": "string",
"ImportedAt": "string",
"InUseBy": ["string"],
"IssuedAt": "string",
"Issuer": "string",
"KeyAlgorithm": "string",
"KeyUsages": [{
"Name": "string"
}],
"NotAfter": "string",
"NotBefore": "string",
"Options": {
"CertificateTransparencyLoggingPreference": "string"
},
"RenewalEligibility": "string",
"RenewalSummary": {
"DomainValidationOptions": [{
"DomainName": "string",
"ResourceRecord": {
"Name": "string",
"Type": "string",
"Value": "string"
},
"ValidationDomain": "string",
"ValidationEmails": ["string"],
"ValidationMethod": "string",
"ValidationStatus": "string"
}],
"RenewalStatus": "string",
"RenewalStatusReason": "string",
"UpdatedAt": "string"
},
"Serial": "string",
"SignatureAlgorithm": "string",
"Status": "string",
"Subject": "string",
"SubjectAlternativeNames": ["string"],
"Type": "string"
},
"AwsCloudFormationStack": {
"Capabilities": ["string"],
"CreationTime": "string",
"Description": "string",
"DisableRollback": boolean,
"DriftInformation": {
"StackDriftStatus": "string"
},
"EnableTerminationProtection": boolean,
"LastUpdatedTime": "string",
"NotificationArns": ["string"],
"Outputs": [{
"Description": "string",
"OutputKey": "string",
"OutputValue": "string"
}],
"RoleArn": "string",
"StackId": "string",
"StackName": "string",
"StackStatus": "string",
"StackStatusReason": "string",
"TimeoutInMinutes": number
},
"AwsCloudFrontDistribution": {
"CacheBehaviors": {
"Items": [{
"ViewerProtocolPolicy": "string"
}]
},
"DefaultCacheBehavior": {
"ViewerProtocolPolicy": "string"
},
"DefaultRootObject": "string",
"DomainName": "string",
"Etag": "string",
"LastModifiedTime": "string",
"Logging": {
"Bucket": "string",
"Enabled": boolean,
"IncludeCookies": boolean,
"Prefix": "string"
},
"OriginGroups": {
"Items": [{
"FailoverCriteria": {
"StatusCodes": {
"Items": [number],
"Quantity": number
}
}
}]
},
"Origins": {
"Items": [{
"CustomOriginConfig": {
"HttpPort": number,
"HttpsPort": number,
"OriginKeepaliveTimeout": number,
"OriginProtocolPolicy": "string",
"OriginReadTimeout": number,
"OriginSslProtocols": {
"Items": ["string"],
"Quantity": number
}
},
"DomainName": "string",
"Id": "string",
"OriginPath": "string",
"S3OriginConfig": {
"OriginAccessIdentity": "string"
}
}]
},
"Status": "string",
"ViewerCertificate": {
"AcmCertificateArn": "string",
"Certificate": "string",
"CertificateSource": "string",
"CloudFrontDefaultCertificate": boolean,
"IamCertificateId": "string",
"MinimumProtocolVersion": "string",
"SslSupportMethod": "string"
},
"WebAclId": "string"
},
"AwsCloudTrailTrail": {
"CloudWatchLogsLogGroupArn": "string",
"CloudWatchLogsRoleArn": "string",
"HasCustomEventSelectors": boolean,
"HomeRegion": "string",
"IncludeGlobalServiceEvents": boolean,
"IsMultiRegionTrail": boolean,
"IsOrganizationTrail": boolean,
"KmsKeyId": "string",
"LogFileValidationEnabled": boolean,
"Name": "string",
"S3BucketName": "string",
"S3KeyPrefix": "string",
"SnsTopicArn": "string",
"SnsTopicName": "string",
"TrailArn": "string"
},
"AwsCloudWatchAlarm": {
"ActionsEnabled": boolean,
"AlarmActions": ["string"],
"AlarmArn": "string",
"AlarmConfigurationUpdatedTimestamp": "string",
"AlarmDescription": "string",
"AlarmName": "string",
"ComparisonOperator": "string",
"DatapointsToAlarm": number,
"Dimensions": [{
"Name": "string",
"Value": "string"
}],
"EvaluateLowSampleCountPercentile": "string",
"EvaluationPeriods": number,
"ExtendedStatistic": "string",
"InsufficientDataActions": ["string"],
"MetricName": "string",
"Namespace": "string",
"OkActions": ["string"],
"Period": number,
"Statistic": "string",
"Threshold": number,
"ThresholdMetricId": "string",
"TreatMissingData": "string",
"Unit": "string"
},
"AwsCodeBuildProject": {
"Artifacts": [{
"ArtifactIdentifier": "string",
"EncryptionDisabled": boolean,
"Location": "string",
"Name": "string",
"NamespaceType": "string",
"OverrideArtifactName": boolean,
"Packaging": "string",
"Path": "string",
"Type": "string"
}],
"SecondaryArtifacts": [{
"ArtifactIdentifier": "string",
"Type": "string",
"Location": "string",
"Name": "string",
"NamespaceType": "string",
"Packaging": "string",
"Path": "string",
"EncryptionDisabled": boolean,
"OverrideArtifactName": boolean
}],
"EncryptionKey": "string",
"Certificate": "string",
"Environment": {
"Certificate": "string",
"EnvironmentVariables": [{
"Name": "string",
"Type": "string",
"Value": "string"
}],
"ImagePullCredentialsType": "string",
"PrivilegedMode": boolean,
"RegistryCredential": {
"Credential": "string",
"CredentialProvider": "string"
},
"Type": "string"
},
"LogsConfig": {
"CloudWatchLogs": {
"GroupName": "string",
"Status": "string",
"StreamName": "string"
},
"S3Logs": {
"EncryptionDisabled": boolean,
"Location": "string",
"Status": "string"
}
},
"Name": "string",
"ServiceRole": "string",
"Source": {
"Type": "string",
"Location": "string",
"GitCloneDepth": integer
},
"VpcConfig": {
"VpcId": "string",
"Subnets": ["string"],
"SecurityGroupIds": ["string"]
}
},
"AwsDmsEndpoint": {
"CertificateArn": "string",
"DatabaseName": "string",
"EndpointArn": "string",
"EndpointIdentifier": "string",
"EndpointType": "string",
"EngineName": "string",
"KmsKeyId": "string",
"Port": integer,
"ServerName": "string",
"SslMode": "string",
"Username": "string"
},
"AwsDmsReplicationInstance": {
"AllocatedStorage": integer,
"AutoMinorVersionUpgrade": boolean,
"AvailabilityZone": "string",
"EngineVersion": "string",
"KmsKeyId": "string",
"MultiAZ": boolean,
"PreferredMaintenanceWindow": "string",
"PubliclyAccessible": boolean,
"ReplicationInstanceClass": "string",
"ReplicationInstanceIdentifier": "string",
"ReplicationSubnetGroup": {
"ReplicationSubnetGroupIdentifier": "string"
},
"VpcSecurityGroups": [
{
"VpcSecurityGroupId": "string"
}
]
},
"AwsDmsReplicationTask": {
"CdcStartPosition": "string",
"Id": "string",
"MigrationType": "string",
"ReplicationInstanceArn": "string",
"ReplicationTaskIdentifier": "string",
"ReplicationTaskSettings": {
"string": "string"
},
"SourceEndpointArn": "string",
"TableMappings": {
"string": "string"
},
"TargetEndpointArn": "string"
},
"AwsDynamoDbTable": {
"AttributeDefinitions": [{
"AttributeName": "string",
"AttributeType": "string"
}],
"BillingModeSummary": {
"BillingMode": "string",
"LastUpdateToPayPerRequestDateTime": "string"
},
"CreationDateTime": "string",
"DeletionProtectionEnabled": boolean,
"GlobalSecondaryIndexes": [{
"Backfilling": boolean,
"IndexArn": "string",
"IndexName": "string",
"IndexSizeBytes": number,
"IndexStatus": "string",
"ItemCount": number,
"KeySchema": [{
"AttributeName": "string",
"KeyType": "string"
}],
"Projection": {
"NonKeyAttributes": ["string"],
"ProjectionType": "string"
},
"ProvisionedThroughput": {
"LastDecreaseDateTime": "string",
"LastIncreaseDateTime": "string",
"NumberOfDecreasesToday": number,
"ReadCapacityUnits": number,
"WriteCapacityUnits": number
}
}],
"GlobalTableVersion": "string",
"ItemCount": number,
"KeySchema": [{
"AttributeName": "string",
"KeyType": "string"
}],
"LatestStreamArn": "string",
"LatestStreamLabel": "string",
"LocalSecondaryIndexes": [{
"IndexArn": "string",
"IndexName": "string",
"KeySchema": [{
"AttributeName": "string",
"KeyType": "string"
}],
"Projection": {
"NonKeyAttributes": ["string"],
"ProjectionType": "string"
}
}],
"ProvisionedThroughput": {
"LastDecreaseDateTime": "string",
"LastIncreaseDateTime": "string",
"NumberOfDecreasesToday": number,
"ReadCapacityUnits": number,
"WriteCapacityUnits": number
},
"Replicas": [{
"GlobalSecondaryIndexes": [{
"IndexName": "string",
"ProvisionedThroughputOverride": {
"ReadCapacityUnits": number
}
}],
"KmsMasterKeyId": "string",
"ProvisionedThroughputOverride": {
"ReadCapacityUnits": number
},
"RegionName": "string",
"ReplicaStatus": "string",
"ReplicaStatusDescription": "string"
}],
"RestoreSummary": {
"RestoreDateTime": "string",
"RestoreInProgress": boolean,
"SourceBackupArn": "string",
"SourceTableArn": "string"
},
"SseDescription": {
"InaccessibleEncryptionDateTime": "string",
"KmsMasterKeyArn": "string",
"SseType": "string",
"Status": "string"
},
"StreamSpecification": {
"StreamEnabled": boolean,
"StreamViewType": "string"
},
"TableId": "string",
"TableName": "string",
"TableSizeBytes": number,
"TableStatus": "string"
},
"AwsEc2ClientVpnEndpoint": {
"AuthenticationOptions": [
{
"MutualAuthentication": {
"ClientRootCertificateChainArn": "string"
},
"Type": "string"
}
],
"ClientCidrBlock": "string",
"ClientConnectOptions": {
"Enabled": boolean
},
"ClientLoginBannerOptions": {
"Enabled": boolean
},
"ClientVpnEndpointId": "string",
"ConnectionLogOptions": {
"Enabled": boolean
},
"Description": "string",
"DnsServer": ["string"],
"ServerCertificateArn": "string",
"SecurityGroupIdSet": [
"string"
],
"SelfServicePortalUrl": "string",
"SessionTimeoutHours": "integer",
"SplitTunnel": boolean,
"TransportProtocol": "string",
"VpcId": "string",
"VpnPort": integer
},
"AwsEc2Eip": {
"AllocationId": "string",
"AssociationId": "string",
"Domain": "string",
"InstanceId": "string",
"NetworkBorderGroup": "string",
"NetworkInterfaceId": "string",
"NetworkInterfaceOwnerId": "string",
"PrivateIpAddress": "string",
"PublicIp": "string",
"PublicIpv4Pool": "string"
},
"AwsEc2Instance": {
"IamInstanceProfileArn": "string",
"ImageId": "string",
"IpV4Addresses": ["string"],
"IpV6Addresses": ["string"],
"KeyName": "string",
"LaunchedAt": "string",
"MetadataOptions": {
"HttpEndpoint": "string",
"HttpProtocolIpv6": "string",
"HttpPutResponseHopLimit": number,
"HttpTokens": "string",
"InstanceMetadataTags": "string"
},
"Monitoring": {
"State": "string"
},
"NetworkInterfaces": [{
"NetworkInterfaceId": "string"
}],
"SubnetId": "string",
"Type": "string",
"VirtualizationType": "string",
"VpcId": "string"
},
"AwsEc2LaunchTemplate": {
"DefaultVersionNumber": "string",
"ElasticGpuSpecifications": ["string"],
"ElasticInferenceAccelerators": ["string"],
"Id": "string",
"ImageId": "string",
"LatestVersionNumber": "string",
"LaunchTemplateData": {
"BlockDeviceMappings": [{
"DeviceName": "string",
"Ebs": {
"DeleteonTermination": boolean,
"Encrypted": boolean,
"SnapshotId": "string",
"VolumeSize": number,
"VolumeType": "string"
}
}],
"MetadataOptions": {
"HttpTokens": "string",
"HttpPutResponseHopLimit" : number
},
"Monitoring": {
"Enabled": boolean
},
"NetworkInterfaces": [{
"AssociatePublicIpAddress" : boolean
}]
},
"LaunchTemplateName": "string",
"LicenseSpecifications": ["string"],
"SecurityGroupIds": ["string"],
"SecurityGroups": ["string"],
"TagSpecifications": ["string"]
},
"AwsEc2NetworkAcl": {
"Associations": [{
"NetworkAclAssociationId": "string",
"NetworkAclId": "string",
"SubnetId": "string"
}],
"Entries": [{
"CidrBlock": "string",
"Egress": boolean,
"IcmpTypeCode": {
"Code": number,
"Type": number
},
"Ipv6CidrBlock": "string",
"PortRange": {
"From": number,
"To": number
},
"Protocol": "string",
"RuleAction": "string",
"RuleNumber": number
}],
"IsDefault": boolean,
"NetworkAclId": "string",
"OwnerId": "string",
"VpcId": "string"
},
"AwsEc2NetworkInterface": {
"Attachment": {
"AttachmentId": "string",
"AttachTime": "string",
"DeleteOnTermination": boolean,
"DeviceIndex": number,
"InstanceId": "string",
"InstanceOwnerId": "string",
"Status": "string"
},
"Ipv6Addresses": [{
"Ipv6Address": "string"
}],
"NetworkInterfaceId": "string",
"PrivateIpAddresses": [{
"PrivateDnsName": "string",
"PrivateIpAddress": "string"
}],
"PublicDnsName": "string",
"PublicIp": "string",
"SecurityGroups": [{
"GroupId": "string",
"GroupName": "string"
}],
"SourceDestCheck": boolean
},
"AwsEc2RouteTable": {
"AssociationSet": [{
"AssociationState": {
"State": "string"
},
"Main": boolean,
"RouteTableAssociationId": "string",
"RouteTableId": "string"
}],
"PropogatingVgwSet": [],
"RouteTableId": "string",
"RouteSet": [
{
"DestinationCidrBlock": "string",
"GatewayId": "string",
"Origin": "string",
"State": "string"
},
{
"DestinationCidrBlock": "string",
"GatewayId": "string",
"Origin": "string",
"State": "string"
}
],
"VpcId": "string"
},
"AwsEc2SecurityGroup": {
"GroupId": "string",
"GroupName": "string",
"IpPermissions": [{
"FromPort": number,
"IpProtocol": "string",
"IpRanges": [{
"CidrIp": "string"
}],
"Ipv6Ranges": [{
"CidrIpv6": "string"
}],
"PrefixListIds": [{
"PrefixListId": "string"
}],
"ToPort": number,
"UserIdGroupPairs": [{
"GroupId": "string",
"GroupName": "string",
"PeeringStatus": "string",
"UserId": "string",
"VpcId": "string",
"VpcPeeringConnectionId": "string"
}]
}],
"IpPermissionsEgress": [{
"FromPort": number,
"IpProtocol": "string",
"IpRanges": [{
"CidrIp": "string"
}],
"Ipv6Ranges": [{
"CidrIpv6": "string"
}],
"PrefixListIds": [{
"PrefixListId": "string"
}],
"ToPort": number,
"UserIdGroupPairs": [{
"GroupId": "string",
"GroupName": "string",
"PeeringStatus": "string",
"UserId": "string",
"VpcId": "string",
"VpcPeeringConnectionId": "string"
}]
}],
"OwnerId": "string",
"VpcId": "string"
},
"AwsEc2Subnet": {
"AssignIpv6AddressOnCreation": boolean,
"AvailabilityZone": "string",
"AvailabilityZoneId": "string",
"AvailableIpAddressCount": number,
"CidrBlock": "string",
"DefaultForAz": boolean,
"Ipv6CidrBlockAssociationSet": [{
"AssociationId": "string",
"Ipv6CidrBlock": "string",
"CidrBlockState": "string"
}],
"MapPublicIpOnLaunch": boolean,
"OwnerId": "string",
"State": "string",
"SubnetArn": "string",
"SubnetId": "string",
"VpcId": "string"
},
"AwsEc2TransitGateway": {
"AmazonSideAsn": number,
"AssociationDefaultRouteTableId": "string",
"AutoAcceptSharedAttachments": "string",
"DefaultRouteTableAssociation": "string",
"DefaultRouteTablePropagation": "string",
"Description": "string",
"DnsSupport": "string",
"Id": "string",
"MulticastSupport": "string",
"PropagationDefaultRouteTableId": "string",
"TransitGatewayCidrBlocks": ["string"],
"VpnEcmpSupport": "string"
},
"AwsEc2Volume": {
"Attachments": [{
"AttachTime": "string",
"DeleteOnTermination": boolean,
"InstanceId": "string",
"Status": "string"
}],
"CreateTime": "string",
"DeviceName": "string",
"Encrypted": boolean,
"KmsKeyId": "string",
"Size": number,
"SnapshotId": "string",
"Status": "string",
"VolumeId": "string",
"VolumeScanStatus": "string",
"VolumeType": "string"
},
"AwsEc2Vpc": {
"CidrBlockAssociationSet": [{
"AssociationId": "string",
"CidrBlock": "string",
"CidrBlockState": "string"
}],
"DhcpOptionsId": "string",
"Ipv6CidrBlockAssociationSet": [{
"AssociationId": "string",
"CidrBlockState": "string",
"Ipv6CidrBlock": "string"
}],
"State": "string"
},
"AwsEc2VpcEndpointService": {
"AcceptanceRequired": boolean,
"AvailabilityZones": ["string"],
"BaseEndpointDnsNames": ["string"],
"ManagesVpcEndpoints": boolean,
"GatewayLoadBalancerArns": ["string"],
"NetworkLoadBalancerArns": ["string"],
"PrivateDnsName": "string",
"ServiceId": "string",
"ServiceName": "string",
"ServiceState": "string",
"ServiceType": [{
"ServiceType": "string"
}]
},
"AwsEc2VpcPeeringConnection": {
"AccepterVpcInfo": {
"CidrBlock": "string",
"CidrBlockSet": [{
"CidrBlock": "string"
}],
"Ipv6CidrBlockSet": [{
"Ipv6CidrBlock": "string"
}],
"OwnerId": "string",
"PeeringOptions": {
"AllowDnsResolutionFromRemoteVpc": boolean,
"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
},
"Region": "string",
"VpcId": "string"
},
"ExpirationTime": "string",
"RequesterVpcInfo": {
"CidrBlock": "string",
"CidrBlockSet": [{
"CidrBlock": "string"
}],
"Ipv6CidrBlockSet": [{
"Ipv6CidrBlock": "string"
}],
"OwnerId": "string",
"PeeringOptions": {
"AllowDnsResolutionFromRemoteVpc": boolean,
"AllowEgressFromLocalClassicLinkToRemoteVpc": boolean,
"AllowEgressFromLocalVpcToRemoteClassicLink": boolean
},
"Region": "string",
"VpcId": "string"
},
"Status": {
"Code": "string",
"Message": "string"
},
"VpcPeeringConnectionId": "string"
},
"AwsEcrContainerImage": {
"Architecture": "string",
"ImageDigest": "string",
"ImagePublishedAt": "string",
"ImageTags": ["string"],
"RegistryId": "string",
"RepositoryName": "string"
},
"AwsEcrRepository": {
"Arn": "string",
"ImageScanningConfiguration": {
"ScanOnPush": boolean
},
"ImageTagMutability": "string",
"LifecyclePolicy": {
"LifecyclePolicyText": "string",
"RegistryId": "string"
},
"RepositoryName": "string",
"RepositoryPolicyText": "string"
},
"AwsEcsCluster": {
"ActiveServicesCount": number,
"CapacityProviders": ["string"],
"ClusterArn": "string",
"ClusterName": "string",
"ClusterSettings": [{
"Name": "string",
"Value": "string"
}],
"Configuration": {
"ExecuteCommandConfiguration": {
"KmsKeyId": "string",
"LogConfiguration": {
"CloudWatchEncryptionEnabled": boolean,
"CloudWatchLogGroupName": "string",
"S3BucketName": "string",
"S3EncryptionEnabled": boolean,
"S3KeyPrefix": "string"
},
"Logging": "string"
}
},
"DefaultCapacityProviderStrategy": [{
"Base": number,
"CapacityProvider": "string",
"Weight": number
}],
"RegisteredContainerInstancesCount": number,
"RunningTasksCount": number,
"Status": "string"
},
"AwsEcsContainer": {
"Image": "string",
"MountPoints": [{
"ContainerPath": "string",
"SourceVolume": "string"
}],
"Name": "string",
"Privileged": boolean
},
"AwsEcsService": {
"CapacityProviderStrategy": [{
"Base": number,
"CapacityProvider": "string",
"Weight": number
}],
"Cluster": "string",
"DeploymentConfiguration": {
"DeploymentCircuitBreaker": {
"Enable": boolean,
"Rollback": boolean
},
"MaximumPercent": number,
"MinimumHealthyPercent": number
},
"DeploymentController": {
"Type": "string"
},
"DesiredCount": number,
"EnableEcsManagedTags": boolean,
"EnableExecuteCommand": boolean,
"HealthCheckGracePeriodSeconds": number,
"LaunchType": "string",
"LoadBalancers": [{
"ContainerName": "string",
"ContainerPort": number,
"LoadBalancerName": "string",
"TargetGroupArn": "string"
}],
"Name": "string",
"NetworkConfiguration": {
"AwsVpcConfiguration": {
"AssignPublicIp": "string",
"SecurityGroups": ["string"],
"Subnets": ["string"]
}
},
"PlacementConstraints": [{
"Expression": "string",
"Type": "string"
}],
"PlacementStrategies": [{
"Field": "string",
"Type": "string"
}],
"PlatformVersion": "string",
"PropagateTags": "string",
"Role": "string",
"SchedulingStrategy": "string",
"ServiceArn": "string",
"ServiceName": "string",
"ServiceRegistries": [{
"ContainerName": "string",
"ContainerPort": number,
"Port": number,
"RegistryArn": "string"
}],
"TaskDefinition": "string"
},
"AwsEcsTask": {
"CreatedAt": "string",
"ClusterArn": "string",
"Group": "string",
"StartedAt": "string",
"StartedBy": "string",
"TaskDefinitionArn": "string",
"Version": number,
"Volumes": [{
"Name": "string",
"Host": {
"SourcePath": "string"
}
}],
"Containers": [{
"Image": "string",
"MountPoints": [{
"ContainerPath": "string",
"SourceVolume": "string"
}],
"Name": "string",
"Privileged": boolean
}]
},
"AwsEcsTaskDefinition": {
"ContainerDefinitions": [{
"Command": ["string"],
"Cpu": number,
"DependsOn": [{
"Condition": "string",
"ContainerName": "string"
}],
"DisableNetworking": boolean,
"DnsSearchDomains": ["string"],
"DnsServers": ["string"],
"DockerLabels": {
"string": "string"
},
"DockerSecurityOptions": ["string"],
"EntryPoint": ["string"],
"Environment": [{
"Name": "string",
"Value": "string"
}],
"EnvironmentFiles": [{
"Type": "string",
"Value": "string"
}],
"Essential": boolean,
"ExtraHosts": [{
"Hostname": "string",
"IpAddress": "string"
}],
"FirelensConfiguration": {
"Options": {
"string": "string"
},
"Type": "string"
},
"HealthCheck": {
"Command": ["string"],
"Interval": number,
"Retries": number,
"StartPeriod": number,
"Timeout": number
},
"Hostname": "string",
"Image": "string",
"Interactive": boolean,
"Links": ["string"],
"LinuxParameters": {
"Capabilities": {
"Add": ["string"],
"Drop": ["string"]
},
"Devices": [{
"ContainerPath": "string",
"HostPath": "string",
"Permissions": ["string"]
}],
"InitProcessEnabled": boolean,
"MaxSwap": number,
"SharedMemorySize": number,
"Swappiness": number,
"Tmpfs": [{
"ContainerPath": "string",
"MountOptions": ["string"],
"Size": number
}]
},
"LogConfiguration": {
"LogDriver": "string",
"Options": {
"string": "string"
},
"SecretOptions": [{
"Name": "string",
"ValueFrom": "string"
}]
},
"Memory": number,
"MemoryReservation": number,
"MountPoints": [{
"ContainerPath": "string",
"ReadOnly": boolean,
"SourceVolume": "string"
}],
"Name": "string",
"PortMappings": [{
"ContainerPort": number,
"HostPort": number,
"Protocol": "string"
}],
"Privileged": boolean,
"PseudoTerminal": boolean,
"ReadonlyRootFilesystem": boolean,
"RepositoryCredentials": {
"CredentialsParameter": "string"
},
"ResourceRequirements": [{
"Type": "string",
"Value": "string"
}],
"Secrets": [{
"Name": "string",
"ValueFrom": "string"
}],
"StartTimeout": number,
"StopTimeout": number,
"SystemControls": [{
"Namespace": "string",
"Value": "string"
}],
"Ulimits": [{
"HardLimit": number,
"Name": "string",
"SoftLimit": number
}],
"User": "string",
"VolumesFrom": [{
"ReadOnly": boolean,
"SourceContainer": "string"
}],
"WorkingDirectory": "string"
}],
"Cpu": "string",
"ExecutionRoleArn": "string",
"Family": "string",
"InferenceAccelerators": [{
"DeviceName": "string",
"DeviceType": "string"
}],
"IpcMode": "string",
"Memory": "string",
"NetworkMode": "string",
"PidMode": "string",
"PlacementConstraints": [{
"Expression": "string",
"Type": "string"
}],
"ProxyConfiguration": {
"ContainerName": "string",
"ProxyConfigurationProperties": [{
"Name": "string",
"Value": "string"
}],
"Type": "string"
},
"RequiresCompatibilities": ["string"],
"Status": "string",
"TaskRoleArn": "string",
"Volumes": [{
"DockerVolumeConfiguration": {
"Autoprovision": boolean,
"Driver": "string",
"DriverOpts": {
"string": "string"
},
"Labels": {
"string": "string"
},
"Scope": "string"
},
"EfsVolumeConfiguration": {
"AuthorizationConfig": {
"AccessPointId": "string",
"Iam": "string"
},
"FilesystemId": "string",
"RootDirectory": "string",
"TransitEncryption": "string",
"TransitEncryptionPort": number
},
"Host": {
"SourcePath": "string"
},
"Name": "string"
}]
},
"AwsEfsAccessPoint": {
"AccessPointId": "string",
"Arn": "string",
"ClientToken": "string",
"FileSystemId": "string",
"PosixUser": {
"Gid": "string",
"SecondaryGids": ["string"],
"Uid": "string"
},
"RootDirectory": {
"CreationInfo": {
"OwnerGid": "string",
"OwnerUid": "string",
"Permissions": "string"
},
"Path": "string"
}
},
"AwsEksCluster": {
"Arn": "string",
"CertificateAuthorityData": "string",
"ClusterStatus": "string",
"Endpoint": "string",
"Logging": {
"ClusterLogging": [{
"Enabled": boolean,
"Types": ["string"]
}]
},
"Name": "string",
"ResourcesVpcConfig": {
"EndpointPublicAccess": boolean,
"SecurityGroupIds": ["string"],
"SubnetIds": ["string"]
},
"RoleArn": "string",
"Version": "string"
},
"AwsElasticBeanstalkEnvironment": {
"ApplicationName": "string",
"Cname": "string",
"DateCreated": "string",
"DateUpdated": "string",
"Description": "string",
"EndpointUrl": "string",
"EnvironmentArn": "string",
"EnvironmentId": "string",
"EnvironmentLinks": [{
"EnvironmentName": "string",
"LinkName": "string"
}],
"EnvironmentName": "string",
"OptionSettings": [{
"Namespace": "string",
"OptionName": "string",
"ResourceName": "string",
"Value": "string"
}],
"PlatformArn": "string",
"SolutionStackName": "string",
"Status": "string",
"Tier": {
"Name": "string",
"Type": "string",
"Version": "string"
},
"VersionLabel": "string"
},
"AwsElasticSearchDomain": {
"AccessPolicies": "string",
"DomainStatus": {
"DomainId": "string",
"DomainName": "string",
"Endpoint": "string",
"Endpoints": {
"string": "string"
}
},
"DomainEndpointOptions": {
"EnforceHTTPS": boolean,
"TLSSecurityPolicy": "string"
},
"ElasticsearchClusterConfig": {
"DedicatedMasterCount": number,
"DedicatedMasterEnabled": boolean,
"DedicatedMasterType": "string",
"InstanceCount": number,
"InstanceType": "string",
"ZoneAwarenessConfig": {
"AvailabilityZoneCount": number
},
"ZoneAwarenessEnabled": boolean
},
"ElasticsearchVersion": "string",
"EncryptionAtRestOptions": {
"Enabled": boolean,
"KmsKeyId": "string"
},
"LogPublishingOptions": {
"AuditLogs": {
"CloudWatchLogsLogGroupArn": "string",
"Enabled": boolean
},
"IndexSlowLogs": {
"CloudWatchLogsLogGroupArn": "string",
"Enabled": boolean
},
"SearchSlowLogs": {
"CloudWatchLogsLogGroupArn": "string",
"Enabled": boolean
}
},
"NodeToNodeEncryptionOptions": {
"Enabled": boolean
},
"ServiceSoftwareOptions": {
"AutomatedUpdateDate": "string",
"Cancellable": boolean,
"CurrentVersion": "string",
"Description": "string",
"NewVersion": "string",
"UpdateAvailable": boolean,
"UpdateStatus": "string"
},
"VPCOptions": {
"AvailabilityZones": [
"string"
],
"SecurityGroupIds": [
"string"
],
"SubnetIds": [
"string"
],
"VPCId": "string"
}
},
"AwsElbLoadBalancer": {
"AvailabilityZones": ["string"],
"BackendServerDescriptions": [{
"InstancePort": number,
"PolicyNames": ["string"]
}],
"CanonicalHostedZoneName": "string",
"CanonicalHostedZoneNameID": "string",
"CreatedTime": "string",
"DnsName": "string",
"HealthCheck": {
"HealthyThreshold": number,
"Interval": number,
"Target": "string",
"Timeout": number,
"UnhealthyThreshold": number
},
"Instances": [{
"InstanceId": "string"
}],
"ListenerDescriptions": [{
"Listener": {
"InstancePort": number,
"InstanceProtocol": "string",
"LoadBalancerPort": number,
"Protocol": "string",
"SslCertificateId": "string"
},
"PolicyNames": ["string"]
}],
"LoadBalancerAttributes": {
"AccessLog": {
"EmitInterval": number,
"Enabled": boolean,
"S3BucketName": "string",
"S3BucketPrefix": "string"
},
"ConnectionDraining": {
"Enabled": boolean,
"Timeout": number
},
"ConnectionSettings": {
"IdleTimeout": number
},
"CrossZoneLoadBalancing": {
"Enabled": boolean
},
"AdditionalAttributes": [{
"Key": "string",
"Value": "string"
}]
},
"LoadBalancerName": "string",
"Policies": {
"AppCookieStickinessPolicies": [{
"CookieName": "string",
"PolicyName": "string"
}],
"LbCookieStickinessPolicies": [{
"CookieExpirationPeriod": number,
"PolicyName": "string"
}],
"OtherPolicies": ["string"]
},
"Scheme": "string",
"SecurityGroups": ["string"],
"SourceSecurityGroup": {
"GroupName": "string",
"OwnerAlias": "string"
},
"Subnets": ["string"],
"VpcId": "string"
},
"AwsElbv2LoadBalancer": {
"AvailabilityZones": {
"SubnetId": "string",
"ZoneName": "string"
},
"CanonicalHostedZoneId": "string",
"CreatedTime": "string",
"DNSName": "string",
"IpAddressType": "string",
"LoadBalancerAttributes": [{
"Key": "string",
"Value": "string"
}],
"Scheme": "string",
"SecurityGroups": ["string"],
"State": {
"Code": "string",
"Reason": "string"
},
"Type": "string",
"VpcId": "string"
},
"AwsEventSchemasRegistry": {
"Description": "string",
"RegistryArn": "string",
"RegistryName": "string"
},
"AwsEventsEndpoint": {
"Arn": "string",
"Description": "string",
"EndpointId": "string",
"EndpointUrl": "string",
"EventBuses": [
{
"EventBusArn": "string"
},
{
"EventBusArn": "string"
}
],
"Name": "string",
"ReplicationConfig": {
"State": "string"
},
"RoleArn": "string",
"RoutingConfig": {
"FailoverConfig": {
"Primary": {
"HealthCheck": "string"
},
"Secondary": {
"Route": "string"
}
}
},
"State": "string"
},
"AwsEventsEventBus": {
"Arn": "string",
"Name": "string",
"Policy": "string"
},
"AwsGuardDutyDetector": {
"FindingPublishingFrequency": "string",
"ServiceRole": "string",
"Status": "string",
"DataSources": {
"CloudTrail": {
"Status": "string"
},
"DnsLogs": {
"Status": "string"
},
"FlowLogs": {
"Status": "string"
},
"S3Logs": {
"Status": "string"
},
"Kubernetes": {
"AuditLogs": {
"Status": "string"
}
},
"MalwareProtection": {
"ScanEc2InstanceWithFindings": {
"EbsVolumes": {
"Status": "string"
}
},
"ServiceRole": "string"
}
}
},
"AwsIamAccessKey": {
"AccessKeyId": "string",
"AccountId": "string",
"CreatedAt": "string",
"PrincipalId": "string",
"PrincipalName": "string",
"PrincipalType": "string",
"SessionContext": {
"Attributes": {
"CreationDate": "string",
"MfaAuthenticated": boolean
},
"SessionIssuer": {
"AccountId": "string",
"Arn": "string",
"PrincipalId": "string",
"Type": "string",
"UserName": "string"
}
},
"Status": "string"
},
"AwsIamGroup": {
"AttachedManagedPolicies": [{
"PolicyArn": "string",
"PolicyName": "string"
}],
"CreateDate": "string",
"GroupId": "string",
"GroupName": "string",
"GroupPolicyList": [{
"PolicyName": "string"
}],
"Path": "string"
},
"AwsIamPolicy": {
"AttachmentCount": number,
"CreateDate": "string",
"DefaultVersionId": "string",
"Description": "string",
"IsAttachable": boolean,
"Path": "string",
"PermissionsBoundaryUsageCount": number,
"PolicyId": "string",
"PolicyName": "string",
"PolicyVersionList": [{
"CreateDate": "string",
"IsDefaultVersion": boolean,
"VersionId": "string"
}],
"UpdateDate": "string"
},
"AwsIamRole": {
"AssumeRolePolicyDocument": "string",
"AttachedManagedPolicies": [{
"PolicyArn": "string",
"PolicyName": "string"
}],
"CreateDate": "string",
"InstanceProfileList": [{
"Arn": "string",
"CreateDate": "string",
"InstanceProfileId": "string",
"InstanceProfileName": "string",
"Path": "string",
"Roles": [{
"Arn": "string",
"AssumeRolePolicyDocument": "string",
"CreateDate": "string",
"Path": "string",
"RoleId": "string",
"RoleName": "string"
}]
}],
"MaxSessionDuration": number,
"Path": "string",
"PermissionsBoundary": {
"PermissionsBoundaryArn": "string",
"PermissionsBoundaryType": "string"
},
"RoleId": "string",
"RoleName": "string",
"RolePolicyList": [{
"PolicyName": "string"
}]
},
"AwsIamUser": {
"AttachedManagedPolicies": [{
"PolicyArn": "string",
"PolicyName": "string"
}],
"CreateDate": "string",
"GroupList": ["string"],
"Path": "string",
"PermissionsBoundary": {
"PermissionsBoundaryArn": "string",
"PermissionsBoundaryType": "string"
},
"UserId": "string",
"UserName": "string",
"UserPolicyList": [{
"PolicyName": "string"
}]
},
"AwsKinesisStream": {
"Arn": "string",
"Name": "string",
"RetentionPeriodHours": number,
"ShardCount": number,
"StreamEncryption": {
"EncryptionType": "string",
"KeyId": "string"
}
},
"AwsKmsKey": {
"AWSAccountId": "string",
"CreationDate": "string",
"Description": "string",
"KeyId": "string",
"KeyManager": "string",
"KeyRotationStatus": boolean,
"KeyState": "string",
"Origin": "string"
},
"AwsLambdaFunction": {
"Architectures": [
"string"
],
"Code": {
"S3Bucket": "string",
"S3Key": "string",
"S3ObjectVersion": "string",
"ZipFile": "string"
},
"CodeSha256": "string",
"DeadLetterConfig": {
"TargetArn": "string"
},
"Environment": {
"Variables": {
"Stage": "string"
},
"Error": {
"ErrorCode": "string",
"Message": "string"
}
},
"FunctionName": "string",
"Handler": "string",
"KmsKeyArn": "string",
"LastModified": "string",
"Layers": {
"Arn": "string",
"CodeSize": number
},
"PackageType": "string",
"RevisionId": "string",
"Role": "string",
"Runtime": "string",
"Timeout": integer,
"TracingConfig": {
"Mode": "string"
},
"Version": "string",
"VpcConfig": {
"SecurityGroupIds": ["string"],
"SubnetIds": ["string"]
},
"MasterArn": "string",
"MemorySize": number
},
"AwsLambdaLayerVersion": {
"CompatibleRuntimes": [
"string"
],
"CreatedDate": "string",
"Version": number
},
"AwsMskCluster": {
"ClusterInfo": {
"ClientAuthentication": {
"Sasl": {
"Scram": {
"Enabled": boolean
},
"Iam": {
"Enabled": boolean
}
},
"Tls": {
"CertificateAuthorityArnList": [],
"Enabled": boolean
},
"Unauthenticated": {
"Enabled": boolean
}
},
"ClusterName": "string",
"CurrentVersion": "string",
"EncryptionInfo": {
"EncryptionAtRest": {
"DataVolumeKMSKeyId": "string"
},
"EncryptionInTransit": {
"ClientBroker": "string",
"InCluster": boolean
}
},
"EnhancedMonitoring": "string",
"NumberOfBrokerNodes": integer
}
},
"AwsNetworkFirewallFirewall": {
"DeleteProtection": boolean,
"Description": "string",
"FirewallArn": "string",
"FirewallId": "string",
"FirewallName": "string",
"FirewallPolicyArn": "string",
"FirewallPolicyChangeProtection": boolean,
"SubnetChangeProtection": boolean,
"SubnetMappings": [{
"SubnetId": "string"
}],
"VpcId": "string"
},
"AwsNetworkFirewallFirewallPolicy": {
"Description": "string",
"FirewallPolicy": {
"StatefulRuleGroupReferences": [{
"ResourceArn": "string"
}],
"StatelessCustomActions": [{
"ActionDefinition": {
"PublishMetricAction": {
"Dimensions": [{
"Value": "string"
}]
}
},
"ActionName": "string"
}],
"StatelessDefaultActions": ["string"],
"StatelessFragmentDefaultActions": ["string"],
"StatelessRuleGroupReferences": [{
"Priority": number,
"ResourceArn": "string"
}]
},
"FirewallPolicyArn": "string",
"FirewallPolicyId": "string",
"FirewallPolicyName": "string"
},
"AwsNetworkFirewallRuleGroup": {
"Capacity": number,
"Description": "string",
"RuleGroup": {
"RulesSource": {
"RulesSourceList": {
"GeneratedRulesType": "string",
"Targets": ["string"],
"TargetTypes": ["string"]
},
"RulesString": "string",
"StatefulRules": [{
"Action": "string",
"Header": {
"Destination": "string",
"DestinationPort": "string",
"Direction": "string",
"Protocol": "string",
"Source": "string",
"SourcePort": "string"
},
"RuleOptions": [{
"Keyword": "string",
"Settings": ["string"]
}]
}],
"StatelessRulesAndCustomActions": {
"CustomActions": [{
"ActionDefinition": {
"PublishMetricAction": {
"Dimensions": [{
"Value": "string"
}]
}
},
"ActionName": "string"
}],
"StatelessRules": [{
"Priority": number,
"RuleDefinition": {
"Actions": ["string"],
"MatchAttributes": {
"DestinationPorts": [{
"FromPort": number,
"ToPort": number
}],
"Destinations": [{
"AddressDefinition": "string"
}],
"Protocols": [number],
"SourcePorts": [{
"FromPort": number,
"ToPort": number
}],
"Sources": [{
"AddressDefinition": "string"
}],
"TcpFlags": [{
"Flags": ["string"],
"Masks": ["string"]
}]
}
}
}]
}
},
"RuleVariables": {
"IpSets": {
"Definition": ["string"]
},
"PortSets": {
"Definition": ["string"]
}
}
},
"RuleGroupArn": "string",
"RuleGroupId": "string",
"RuleGroupName": "string",
"Type": "string"
},
"AwsOpenSearchServiceDomain": {
"AccessPolicies": "string",
"AdvancedSecurityOptions": {
"Enabled": boolean,
"InternalUserDatabaseEnabled": boolean,
"MasterUserOptions": {
"MasterUserArn": "string",
"MasterUserName": "string",
"MasterUserPassword": "string"
}
},
"Arn": "string",
"ClusterConfig": {
"DedicatedMasterCount": number,
"DedicatedMasterEnabled": boolean,
"DedicatedMasterType": "string",
"InstanceCount": number,
"InstanceType": "string",
"WarmCount": number,
"WarmEnabled": boolean,
"WarmType": "string",
"ZoneAwarenessConfig": {
"AvailabilityZoneCount": number
},
"ZoneAwarenessEnabled": boolean
},
"DomainEndpoint": "string",
"DomainEndpointOptions": {
"CustomEndpoint": "string",
"CustomEndpointCertificateArn": "string",
"CustomEndpointEnabled": boolean,
"EnforceHTTPS": boolean,
"TLSSecurityPolicy": "string"
},
"DomainEndpoints": {
"string": "string"
},
"DomainName": "string",
"EncryptionAtRestOptions": {
"Enabled": boolean,
"KmsKeyId": "string"
},
"EngineVersion": "string",
"Id": "string",
"LogPublishingOptions": {
"AuditLogs": {
"CloudWatchLogsLogGroupArn": "string",
"Enabled": boolean
},
"IndexSlowLogs": {
"CloudWatchLogsLogGroupArn": "string",
"Enabled": boolean
},
"SearchSlowLogs": {
"CloudWatchLogsLogGroupArn": "string",
"Enabled": boolean
}
},
"NodeToNodeEncryptionOptions": {
"Enabled": boolean
},
"ServiceSoftwareOptions": {
"AutomatedUpdateDate": "string",
"Cancellable": boolean,
"CurrentVersion": "string",
"Description": "string",
"NewVersion": "string",
"OptionalDeployment": boolean,
"UpdateAvailable": boolean,
"UpdateStatus": "string"
},
"VpcOptions": {
"SecurityGroupIds": ["string"],
"SubnetIds": ["string"]
}
},
"AwsRdsDbCluster": {
"ActivityStreamStatus": "string",
"AllocatedStorage": number,
"AssociatedRoles": [{
"RoleArn": "string",
"Status": "string"
}],
"AutoMinorVersionUpgrade": boolean,
"AvailabilityZones": ["string"],
"BackupRetentionPeriod": integer,
"ClusterCreateTime": "string",
"CopyTagsToSnapshot": boolean,
"CrossAccountClone": boolean,
"CustomEndpoints": ["string"],
"DatabaseName": "string",
"DbClusterIdentifier": "string",
"DbClusterMembers": [{
"DbClusterParameterGroupStatus": "string",
"DbInstanceIdentifier": "string",
"IsClusterWriter": boolean,
"PromotionTier": integer
}],
"DbClusterOptionGroupMemberships": [{
"DbClusterOptionGroupName": "string",
"Status": "string"
}],
"DbClusterParameterGroup": "string",
"DbClusterResourceId": "string",
"DbSubnetGroup": "string",
"DeletionProtection": boolean,
"DomainMemberships": [{
"Domain": "string",
"Fqdn": "string",
"IamRoleName": "string",
"Status": "string"
}],
"EnabledCloudwatchLogsExports": ["string"],
"Endpoint": "string",
"Engine": "string",
"EngineMode": "string",
"EngineVersion": "string",
"HostedZoneId": "string",
"HttpEndpointEnabled": boolean,
"IamDatabaseAuthenticationEnabled": boolean,
"KmsKeyId": "string",
"MasterUsername": "string",
"MultiAz": boolean,
"Port": integer,
"PreferredBackupWindow": "string",
"PreferredMaintenanceWindow": "string",
"ReaderEndpoint": "string",
"ReadReplicaIdentifiers": ["string"],
"Status": "string",
"StorageEncrypted": boolean,
"VpcSecurityGroups": [{
"Status": "string",
"VpcSecurityGroupId": "string"
}]
},
"AwsRdsDbClusterSnapshot": {
"AllocatedStorage": integer,
"AvailabilityZones": ["string"],
"ClusterCreateTime": "string",
"DbClusterIdentifier": "string",
"DbClusterSnapshotAttributes": [{
"AttributeName": "string",
"AttributeValues": ["string"]
}],
"DbClusterSnapshotIdentifier": "string",
"Engine": "string",
"EngineVersion": "string",
"IamDatabaseAuthenticationEnabled": boolean,
"KmsKeyId": "string",
"LicenseModel": "string",
"MasterUsername": "string",
"PercentProgress": integer,
"Port": integer,
"SnapshotCreateTime": "string",
"SnapshotType": "string",
"Status": "string",
"StorageEncrypted": boolean,
"VpcId": "string"
},
"AwsRdsDbInstance": {
"AllocatedStorage": number,
"AssociatedRoles": [{
"RoleArn": "string",
"FeatureName": "string",
"Status": "string"
}],
"AutoMinorVersionUpgrade": boolean,
"AvailabilityZone": "string",
"BackupRetentionPeriod": number,
"CACertificateIdentifier": "string",
"CharacterSetName": "string",
"CopyTagsToSnapshot": boolean,
"DBClusterIdentifier": "string",
"DBInstanceClass": "string",
"DBInstanceIdentifier": "string",
"DbInstancePort": number,
"DbInstanceStatus": "string",
"DbiResourceId": "string",
"DBName": "string",
"DbParameterGroups": [{
"DbParameterGroupName": "string",
"ParameterApplyStatus": "string"
}],
"DbSecurityGroups": ["string"],
"DbSubnetGroup": {
"DbSubnetGroupArn": "string",
"DbSubnetGroupDescription": "string",
"DbSubnetGroupName": "string",
"SubnetGroupStatus": "string",
"Subnets": [{
"SubnetAvailabilityZone": {
"Name": "string"
},
"SubnetIdentifier": "string",
"SubnetStatus": "string"
}],
"VpcId": "string"
},
"DeletionProtection": boolean,
"Endpoint": {
"Address": "string",
"Port": number,
"HostedZoneId": "string"
},
"DomainMemberships": [{
"Domain": "string",
"Fqdn": "string",
"IamRoleName": "string",
"Status": "string"
}],
"EnabledCloudwatchLogsExports": ["string"],
"Engine": "string",
"EngineVersion": "string",
"EnhancedMonitoringResourceArn": "string",
"IAMDatabaseAuthenticationEnabled": boolean,
"InstanceCreateTime": "string",
"Iops": number,
"KmsKeyId": "string",
"LatestRestorableTime": "string",
"LicenseModel": "string",
"ListenerEndpoint": {
"Address": "string",
"HostedZoneId": "string",
"Port": number
},
"MasterUsername": "admin",
"MaxAllocatedStorage": number,
"MonitoringInterval": number,
"MonitoringRoleArn": "string",
"MultiAz": boolean,
"OptionGroupMemberships": [{
"OptionGroupName": "string",
"Status": "string"
}],
"PendingModifiedValues": {
"AllocatedStorage": number,
"BackupRetentionPeriod": number,
"CaCertificateIdentifier": "string",
"DbInstanceClass": "string",
"DbInstanceIdentifier": "string",
"DbSubnetGroupName": "string",
"EngineVersion": "string",
"Iops": number,
"LicenseModel": "string",
"MasterUserPassword": "string",
"MultiAZ": boolean,
"PendingCloudWatchLogsExports": {
"LogTypesToDisable": ["string"],
"LogTypesToEnable": ["string"]
},
"Port": number,
"ProcessorFeatures": [{
"Name": "string",
"Value": "string"
}],
"StorageType": "string"
},
"PerformanceInsightsEnabled": boolean,
"PerformanceInsightsKmsKeyId": "string",
"PerformanceInsightsRetentionPeriod": number,
"PreferredBackupWindow": "string",
"PreferredMaintenanceWindow": "string",
"ProcessorFeatures": [{
"Name": "string",
"Value": "string"
}],
"PromotionTier": number,
"PubliclyAccessible": boolean,
"ReadReplicaDBClusterIdentifiers": ["string"],
"ReadReplicaDBInstanceIdentifiers": ["string"],
"ReadReplicaSourceDBInstanceIdentifier": "string",
"SecondaryAvailabilityZone": "string",
"StatusInfos": [{
"Message": "string",
"Normal": boolean,
"Status": "string",
"StatusType": "string"
}],
"StorageEncrypted": boolean,
"TdeCredentialArn": "string",
"Timezone": "string",
"VpcSecurityGroups": [{
"VpcSecurityGroupId": "string",
"Status": "string"
}]
},
"AwsRdsDbSecurityGroup": {
"DbSecurityGroupArn": "string",
"DbSecurityGroupDescription": "string",
"DbSecurityGroupName": "string",
"Ec2SecurityGroups": [{
"Ec2SecurityGroupuId": "string",
"Ec2SecurityGroupName": "string",
"Ec2SecurityGroupOwnerId": "string",
"Status": "string"
}],
"IpRanges": [{
"CidrIp": "string",
"Status": "string"
}],
"OwnerId": "string",
"VpcId": "string"
},
"AwsRdsDbSnapshot": {
"AllocatedStorage": integer,
"AvailabilityZone": "string",
"DbInstanceIdentifier": "string",
"DbiResourceId": "string",
"DbSnapshotIdentifier": "string",
"Encrypted": boolean,
"Engine": "string",
"EngineVersion": "string",
"IamDatabaseAuthenticationEnabled": boolean,
"InstanceCreateTime": "string",
"Iops": number,
"KmsKeyId": "string",
"LicenseModel": "string",
"MasterUsername": "string",
"OptionGroupName": "string",
"PercentProgress": integer,
"Port": integer,
"ProcessorFeatures": [],
"SnapshotCreateTime": "string",
"SnapshotType": "string",
"SourceDbSnapshotIdentifier": "string",
"SourceRegion": "string",
"Status": "string",
"StorageType": "string",
"TdeCredentialArn": "string",
"Timezone": "string",
"VpcId": "string"
},
"AwsRdsEventSubscription": {
"CustomerAwsId": "string",
"CustSubscriptionId": "string",
"Enabled": boolean,
"EventCategoriesList": ["string"],
"EventSubscriptionArn": "string",
"SnsTopicArn": "string",
"SourceIdsList": ["string"],
"SourceType": "string",
"Status": "string",
"SubscriptionCreationTime": "string"
},
"AwsRedshiftCluster": {
"AllowVersionUpgrade": boolean,
"AutomatedSnapshotRetentionPeriod": number,
"AvailabilityZone": "string",
"ClusterAvailabilityStatus": "string",
"ClusterCreateTime": "string",
"ClusterIdentifier": "string",
"ClusterNodes": [{
"NodeRole": "string",
"PrivateIPAddress": "string",
"PublicIPAddress": "string"
}],
"ClusterParameterGroups": [{
"ClusterParameterStatusList": [{
"ParameterApplyErrorDescription": "string",
"ParameterApplyStatus": "string",
"ParameterName": "string"
}],
"ParameterApplyStatus": "string",
"ParameterGroupName": "string"
}],
"ClusterPublicKey": "string",
"ClusterRevisionNumber": "string",
"ClusterSecurityGroups": [{
"ClusterSecurityGroupName": "string",
"Status": "string"
}],
"ClusterSnapshotCopyStatus": {
"DestinationRegion": "string",
"ManualSnapshotRetentionPeriod": number,
"RetentionPeriod": number,
"SnapshotCopyGrantName": "string"
},
"ClusterStatus": "string",
"ClusterSubnetGroupName": "string",
"ClusterVersion": "string",
"DBName": "string",
"DeferredMaintenanceWindows": [{
"DeferMaintenanceEndTime": "string",
"DeferMaintenanceIdentifier": "string",
"DeferMaintenanceStartTime": "string"
}],
"ElasticIpStatus": {
"ElasticIp": "string",
"Status": "string"
},
"ElasticResizeNumberOfNodeOptions": "string",
"Encrypted": boolean,
"Endpoint": {
"Address": "string",
"Port": number
},
"EnhancedVpcRouting": boolean,
"ExpectedNextSnapshotScheduleTime": "string",
"ExpectedNextSnapshotScheduleTimeStatus": "string",
"HsmStatus": {
"HsmClientCertificateIdentifier": "string",
"HsmConfigurationIdentifier": "string",
"Status": "string"
},
"IamRoles": [{
"ApplyStatus": "string",
"IamRoleArn": "string"
}],
"KmsKeyId": "string",
"LoggingStatus":{
"BucketName": "string",
"LastFailureMessage": "string",
"LastFailureTime": "string",
"LastSuccessfulDeliveryTime": "string",
"LoggingEnabled": boolean,
"S3KeyPrefix": "string"
},
"MaintenanceTrackName": "string",
"ManualSnapshotRetentionPeriod": number,
"MasterUsername": "string",
"NextMaintenanceWindowStartTime": "string",
"NodeType": "string",
"NumberOfNodes": number,
"PendingActions": ["string"],
"PendingModifiedValues": {
"AutomatedSnapshotRetentionPeriod": number,
"ClusterIdentifier": "string",
"ClusterType": "string",
"ClusterVersion": "string",
"EncryptionType": "string",
"EnhancedVpcRouting": boolean,
"MaintenanceTrackName": "string",
"MasterUserPassword": "string",
"NodeType": "string",
"NumberOfNodes": number,
"PubliclyAccessible": "string"
},
"PreferredMaintenanceWindow": "string",
"PubliclyAccessible": boolean,
"ResizeInfo": {
"AllowCancelResize": boolean,
"ResizeType": "string"
},
"RestoreStatus": {
"CurrentRestoreRateInMegaBytesPerSecond": number,
"ElapsedTimeInSeconds": number,
"EstimatedTimeToCompletionInSeconds": number,
"ProgressInMegaBytes": number,
"SnapshotSizeInMegaBytes": number,
"Status": "string"
},
"SnapshotScheduleIdentifier": "string",
"SnapshotScheduleState": "string",
"VpcId": "string",
"VpcSecurityGroups": [{
"Status": "string",
"VpcSecurityGroupId": "string"
}]
},
"AwsRoute53HostedZone": {
"HostedZone": {
"Id": "string",
"Name": "string",
"Config": {
"Comment": "string"
}
},
"NameServers": ["string"],
"QueryLoggingConfig": {
"CloudWatchLogsLogGroupArn": {
"CloudWatchLogsLogGroupArn": "string",
"Id": "string",
"HostedZoneId": "string"
}
},
"Vpcs": [
{
"Id": "string",
"Region": "string"
}
]
},
"AwsS3AccessPoint": {
"AccessPointArn": "string",
"Alias": "string",
"Bucket": "string",
"BucketAccountId": "string",
"Name": "string",
"NetworkOrigin": "string",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": boolean,
"BlockPublicPolicy": boolean,
"IgnorePublicAcls": boolean,
"RestrictPublicBuckets": boolean
},
"VpcConfiguration": {
"VpcId": "string"
}
},
"AwsS3AccountPublicAccessBlock": {
"BlockPublicAcls": boolean,
"BlockPublicPolicy": boolean,
"IgnorePublicAcls": boolean,
"RestrictPublicBuckets": boolean
},
"AwsS3Bucket": {
"AccessControlList": "string",
"BucketLifecycleConfiguration": {
"Rules": [{
"AbortIncompleteMultipartUpload": {
"DaysAfterInitiation": number
},
"ExpirationDate": "string",
"ExpirationInDays": number,
"ExpiredObjectDeleteMarker": boolean,
"Filter": {
"Predicate": {
"Operands": [{
"Prefix": "string",
"Type": "string"
},
{
"Tag": {
"Key": "string",
"Value": "string"
},
"Type": "string"
}
],
"Type": "string"
}
},
"Id": "string",
"NoncurrentVersionExpirationInDays": number,
"NoncurrentVersionTransitions": [{
"Days": number,
"StorageClass": "string"
}],
"Prefix": "string",
"Status": "string",
"Transitions": [{
"Date": "string",
"Days": number,
"StorageClass": "string"
}]
}]
},
"BucketLoggingConfiguration": {
"DestinationBucketName": "string",
"LogFilePrefix": "string"
},
"BucketName": "string",
"BucketNotificationConfiguration": {
"Configurations": [{
"Destination": "string",
"Events": ["string"],
"Filter": {
"S3KeyFilter": {
"FilterRules": [{
"Name": "string",
"Value": "string"
}]
}
},
"Type": "string"
}]
},
"BucketVersioningConfiguration": {
"IsMfaDeleteEnabled": boolean,
"Status": "string"
},
"BucketWebsiteConfiguration": {
"ErrorDocument": "string",
"IndexDocumentSuffix": "string",
"RedirectAllRequestsTo": {
"HostName": "string",
"Protocol": "string"
},
"RoutingRules": [{
"Condition": {
"HttpErrorCodeReturnedEquals": "string",
"KeyPrefixEquals": "string"
},
"Redirect": {
"HostName": "string",
"HttpRedirectCode": "string",
"Protocol": "string",
"ReplaceKeyPrefixWith": "string",
"ReplaceKeyWith": "string"
}
}]
},
"CreatedAt": "string",
"ObjectLockConfiguration": {
"ObjectLockEnabled": "string",
"Rule": {
"DefaultRetention": {
"Days": integer,
"Mode": "string",
"Years": integer
}
}
},
"OwnerAccountId": "string",
"OwnerId": "string",
"OwnerName": "string",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": boolean,
"BlockPublicPolicy": boolean,
"IgnorePublicAcls": boolean,
"RestrictPublicBuckets": boolean
},
"ServerSideEncryptionConfiguration": {
"Rules": [{
"ApplyServerSideEncryptionByDefault": {
"KMSMasterKeyID": "string",
"SSEAlgorithm": "string"
}
}]
}
},
"AwsS3Object": {
"ContentType": "string",
"ETag": "string",
"LastModified": "string",
"ServerSideEncryption": "string",
"SSEKMSKeyId": "string",
"VersionId": "string"
},
"AwsSagemakerNotebookInstance": {
"DirectInternetAccess": "string",
"InstanceMetadataServiceConfiguration": {
"MinimumInstanceMetadataServiceVersion": "string"
},
"InstanceType": "string",
"LastModifiedTime": "string",
"NetworkInterfaceId": "string",
"NotebookInstanceArn": "string",
"NotebookInstanceName": "string",
"NotebookInstanceStatus": "string",
"PlatformIdentifier": "string",
"RoleArn": "string",
"RootAccess": "string",
"SecurityGroups": ["string"],
"SubnetId": "string",
"Url": "string",
"VolumeSizeInGB": number
},
"AwsSecretsManagerSecret": {
"Deleted": boolean,
"Description": "string",
"KmsKeyId": "string",
"Name": "string",
"RotationEnabled": boolean,
"RotationLambdaArn": "string",
"RotationOccurredWithinFrequency": boolean,
"RotationRules": {
"AutomaticallyAfterDays": integer
}
},
"AwsSnsTopic": {
"ApplicationSuccessFeedbackRoleArn": "string",
"FirehoseFailureFeedbackRoleArn": "string",
"FirehoseSuccessFeedbackRoleArn": "string",
"HttpFailureFeedbackRoleArn": "string",
"HttpSuccessFeedbackRoleArn": "string",
"KmsMasterKeyId": "string",
"Owner": "string",
"SqsFailureFeedbackRoleArn": "string",
"SqsSuccessFeedbackRoleArn": "string",
"Subscription": {
"Endpoint": "string",
"Protocol": "string"
},
"TopicName": "string"
},
"AwsSqsQueue": {
"DeadLetterTargetArn": "string",
"KmsDataKeyReusePeriodSeconds": number,
"KmsMasterKeyId": "string",
"QueueName": "string"
},
"AwsSsmPatchCompliance": {
"Patch": {
"ComplianceSummary": {
"ComplianceType": "string",
"CompliantCriticalCount": integer,
"CompliantHighCount": integer,
"CompliantInformationalCount": integer,
"CompliantLowCount": integer,
"CompliantMediumCount": integer,
"CompliantUnspecifiedCount": integer,
"ExecutionType": "string",
"NonCompliantCriticalCount": integer,
"NonCompliantHighCount": integer,
"NonCompliantInformationalCount": integer,
"NonCompliantLowCount": integer,
"NonCompliantMediumCount": integer,
"NonCompliantUnspecifiedCount": integer,
"OverallSeverity": "string",
"PatchBaselineId": "string",
"PatchGroup": "string",
"Status": "string"
}
}
},
"AwsStepFunctionStateMachine": {
"StateMachineArn": "string",
"Name": "string",
"Status": "string",
"RoleArn": "string",
"Type": "string",
"LoggingConfiguration": {
"Level": "string",
"IncludeExecutionData": boolean
},
"TracingConfiguration": {
"Enabled": boolean
}
},
"AwsWafRateBasedRule": {
"MatchPredicates": [{
"DataId": "string",
"Negated": boolean,
"Type": "string"
}],
"MetricName": "string",
"Name": "string",
"RateKey": "string",
"RateLimit": number,
"RuleId": "string"
},
"AwsWafRegionalRateBasedRule": {
"MatchPredicates": [{
"DataId": "string",
"Negated": boolean,
"Type": "string"
}],
"MetricName": "string",
"Name": "string",
"RateKey": "string",
"RateLimit": number,
"RuleId": "string"
},
"AwsWafRegionalRule": {
"MetricName": "string",
"Name": "string",
"RuleId": "string",
"PredicateList": [{
"DataId": "string",
"Negated": boolean,
"Type": "string"
}]
},
"AwsWafRegionalRuleGroup": {
"MetricName": "string",
"Name": "string",
"RuleGroupId": "string",
"Rules": [{
"Action": {
"Type": "string"
},
"Priority": number,
"RuleId": "string",
"Type": "string"
}]
},
"AwsWafRegionalWebAcl": {
"DefaultAction": "string",
"MetricName" : "string",
"Name": "string",
"RulesList" : [{
"Action": {
"Type": "string"
},
"Priority": number,
"RuleId": "string",
"Type": "string",
"ExcludedRules": [{
"ExclusionType": "string",
"RuleId": "string"
}],
"OverrideAction": {
"Type": "string"
}
}],
"WebAclId": "string"
},
"AwsWafRule": {
"MetricName": "string",
"Name": "string",
"PredicateList": [{
"DataId": "string",
"Negated": boolean,
"Type": "string"
}],
"RuleId": "string"
},
"AwsWafRuleGroup": {
"MetricName": "string",
"Name": "string",
"RuleGroupId": "string",
"Rules": [{
"Action": {
"Type": "string"
},
"Priority": number,
"RuleId": "string",
"Type": "string"
}]
},
"AwsWafv2RuleGroup": {
"Arn": "string",
"Capacity": number,
"Description": "string",
"Id": "string",
"Name": "string",
"Rules": [{
"Action": {
"Allow": {
"CustomRequestHandling": {
"InsertHeaders": [
{
"Name": "string",
"Value": "string"
},
{
"Name": "string",
"Value": "string"
}
]
}
}
},
"Name": "string",
"Priority": number,
"VisibilityConfig": {
"CloudWatchMetricsEnabled": boolean,
"MetricName": "string",
"SampledRequestsEnabled": boolean
}
}],
"VisibilityConfig": {
"CloudWatchMetricsEnabled": boolean,
"MetricName": "string",
"SampledRequestsEnabled": boolean
}
},
"AwsWafWebAcl": {
"DefaultAction": "string",
"Name": "string",
"Rules": [{
"Action": {
"Type": "string"
},
"ExcludedRules": [{
"RuleId": "string"
}],
"OverrideAction": {
"Type": "string"
},
"Priority": number,
"RuleId": "string",
"Type": "string"
}],
"WebAclId": "string"
},
"AwsWafv2WebAcl": {
"Arn": "string",
"Capacity": number,
"CaptchaConfig": {
"ImmunityTimeProperty": {
"ImmunityTime": number
}
},
"DefaultAction": {
"Block": {}
},
"Description": "string",
"ManagedbyFirewallManager": boolean,
"Name": "string",
"Rules": [{
"Action": {
"RuleAction": {
"Block": {}
}
},
"Name": "string",
"Priority": number,
"VisibilityConfig": {
"SampledRequestsEnabled": boolean,
"CloudWatchMetricsEnabled": boolean,
"MetricName": "string"
}
}],
"VisibilityConfig": {
"SampledRequestsEnabled": boolean,
"CloudWatchMetricsEnabled": boolean,
"MetricName": "string"
}
},
"AwsXrayEncryptionConfig": {
"KeyId": "string",
"Status": "string",
"Type": "string"
},
"CodeRepository": {
"CodeSecurityIntegrationArn": "string",
"ProjectName": "string",
"ProviderType": "string"
},
"Container": {
"ContainerRuntime": "string",
"ImageId": "string",
"ImageName": "string",
"LaunchedAt": "string",
"Name": "string",
"Privileged": boolean,
"VolumeMounts": [{
"Name": "string",
"MountPath": "string"
}]
},
"Other": {
"string": "string"
},
"Id": "string",
"Partition": "string",
"Region": "string",
"ResourceRole": "string",
"Tags": {
"string": "string"
},
"Type": "string"
}],
"SchemaVersion": "string",
"Severity": {
"Label": "string",
"Normalized": number,
"Original": "string"
},
"Sample": boolean,
"SourceUrl": "string",
"Threats": [{
"FilePaths": [{
"FileName": "string",
"FilePath": "string",
"Hash": "string",
"ResourceId": "string"
}],
"ItemCount": number,
"Name": "string",
"Severity": "string"
}],
"ThreatIntelIndicators": [{
"Category": "string",
"LastObservedAt": "string",
"Source": "string",
"SourceUrl": "string",
"Type": "string",
"Value": "string"
}],
"Title": "string",
"Types": ["string"],
"UpdatedAt": "string",
"UserDefinedFields": {
"string": "string"
},
"VerificationState": "string",
"Vulnerabilities": [{
"CodeVulnerabilities": [{
"Cwes": [
"string",
"string"
],
"FilePath": {
"EndLine": integer,
"FileName": "string",
"FilePath": "string",
"StartLine": integer
},
"SourceArn":"string"
}],
"Cvss": [{
"Adjustments": [{
"Metric": "string",
"Reason": "string"
}],
"BaseScore": number,
"BaseVector": "string",
"Source": "string",
"Version": "string"
}],
"EpssScore": number,
"ExploitAvailable": "string",
"FixAvailable": "string",
"Id": "string",
"LastKnownExploitAt": "string",
"ReferenceUrls": ["string"],
"RelatedVulnerabilities": ["string"],
"Vendor": {
"Name": "string",
"Url": "string",
"VendorCreatedAt": "string",
"VendorSeverity": "string",
"VendorUpdatedAt": "string"
},
"VulnerablePackages": [{
"Architecture": "string",
"Epoch": "string",
"FilePath": "string",
"FixedInVersion": "string",
"Name": "string",
"PackageManager": "string",
"Release": "string",
"Remediation": "string",
"SourceLayerArn": "string",
"SourceLayerHash": "string",
"Version": "string"
}]
}],
"Workflow": {
"Status": "string"
},
"WorkflowState": "string"
}
]
```
# Impact de la consolidation sur les domaines et les valeurs d'ASFF
AWS Security Hub CSPM propose deux types de consolidation pour les contrôles :
+ **Vue des contrôles consolidés** : avec ce type de consolidation, chaque contrôle possède un identifiant unique pour toutes les normes. En outre, sur la console Security Hub CSPM, la page **Controls affiche tous les contrôles**, quelles que soient les normes.
+ **Conclusions de contrôle consolidées** — Avec ce type de consolidation, Security Hub CSPM produit un résultat unique pour un contrôle, même si le contrôle s'applique à plusieurs normes activées. Cela peut réduire le bruit de recherche.
Vous ne pouvez pas activer ou désactiver la vue consolidée des contrôles. Les résultats de contrôle consolidés sont activés par défaut si vous activez Security Hub CSPM le 23 février 2023 ou après cette date. Dans le cas contraire, elle est désactivée par défaut. Toutefois, pour les organisations, les résultats de contrôle consolidés ne sont activés pour les comptes membres du Security Hub CSPM que s'ils sont activés pour le compte administrateur. Pour en savoir plus sur les résultats des contrôles consolidés, voir[Génération et mise à jour des résultats de contrôle](controls-findings-create-update.md).
Les deux types de consolidation affectent les champs et les valeurs des résultats de contrôle dans le[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
**Topics**
+ [Vue consolidée des contrôles — modifications apportées à l'ASFF](#securityhub-findings-format-consolidated-controls-view)
+ [Conclusions de contrôle consolidées — modifications apportées à l'ASFF](#securityhub-findings-format-consolidated-control-findings)
+ [Générateur IDs avant et après l'activation des résultats de contrôle consolidés](#securityhub-findings-format-changes-generator-ids)
+ [L'impact de la consolidation sur le contrôle IDs et les titres](#securityhub-findings-format-changes-ids-titles)
+ [Mise à jour des workflows pour la consolidation](#securityhub-findings-format-changes-prepare)
## Vue consolidée des contrôles — modifications apportées à l'ASFF
La fonction d'affichage consolidé des contrôles a apporté les modifications suivantes aux champs et aux valeurs des résultats des contrôles dans l'ASFF. Si vos flux de travail ne reposent pas sur les valeurs de ces champs ASFF, aucune action n'est requise. Si vous avez des flux de travail qui reposent sur des valeurs spécifiques pour ces champs, mettez-les à jour pour utiliser les valeurs actuelles.
| Champ ASFF | Valeur d'échantillon avant la vue consolidée des contrôles | Exemple de valeur après une vue consolidée des contrôles et description de la modification |
| --- | --- | --- |
| Conformité. SecurityControlId | Non applicable (nouveau champ) | EC2.2 Introduit un identifiant de contrôle unique pour toutes les normes. `ProductFields.RuleId`fournit toujours l'ID de contrôle standard pour les contrôles CIS v1.2.0. `ProductFields.ControlId`fournit toujours l'identifiant de contrôle standard pour les contrôles dans d'autres normes. |
| Conformité. AssociatedStandards | Non applicable (nouveau champ) | [\$1» StandardsId « :" standards/aws-foundational-security-best-practices/v /1.0.0 «\$1] Indique dans quelles normes un contrôle est activé. |
| ProductFields. ArchivalReasons:0/Descriptif | Non applicable (nouveau champ) | « Le résultat est dans un état ARCHIVÉ car les résultats des contrôles consolidés ont été activés ou désactivés. Cela entraîne l'archivage des résultats dans l'état précédent lorsque de nouveaux résultats sont générés. » Décrit pourquoi Security Hub CSPM a archivé les résultats existants. |
| ProductFields. ArchivalReasons:0/ ReasonCode | Non applicable (nouveau champ) | « CONSOLIDATED\$1CONTROL\$1FINDINGS\$1UPDATE » Explique pourquoi Security Hub CSPM a archivé les résultats existants. |
| ProductFields.RecommendationUrl | https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation | https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Ce champ ne fait plus référence à une norme. |
| Remédiation. Recommandation. Texte | « Pour savoir comment résoudre ce problème, consultez la documentation PCI AWS DSS de Security Hub CSPM. » | « Pour savoir comment corriger ce problème, consultez la documentation relative aux contrôles CSPM de AWS Security Hub. » Ce champ ne fait plus référence à une norme. |
| Remédiation. Recommandation. URL | https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation | https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Ce champ ne fait plus référence à une norme. |
## Conclusions de contrôle consolidées — modifications apportées à l'ASFF
Si vous activez les résultats de contrôle consolidés, vous pourriez être affecté par les modifications suivantes apportées aux champs et aux valeurs des résultats de contrôle dans l'ASFF. Ces modifications s'ajoutent aux modifications introduites par la fonction d'affichage des contrôles consolidés. Si vos flux de travail ne reposent pas sur les valeurs de ces champs ASFF, aucune action n'est requise. Si vous avez des flux de travail qui reposent sur des valeurs spécifiques pour ces champs, mettez-les à jour pour utiliser les valeurs actuelles.
**Astuce**
Si vous utilisez la solution [Automated Security Response on AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), notez qu'elle prend en charge les résultats de contrôle consolidés. Cela signifie que vous pouvez conserver vos flux de travail actuels si vous activez les résultats de contrôle consolidés.
| Champ ASFF | Exemple de valeur avant l'activation des résultats de contrôle consolidés | Exemple de valeur après activation des résultats de contrôle consolidés et description de la modification |
| --- | --- | --- |
| GeneratorId | aws-foundational-security-best- practices/v/1.0.0/Config 1. | Contrôle de sécurité/Config.1 Ce champ ne fait plus référence à une norme. |
| Titre | PCI.Config.1 doit être activé AWS Config | AWS Config doit être activé Ce champ ne fait plus référence aux informations spécifiques à la norme. |
| Id | arn:aws:securityhub:eu-central- 1:123456789012 : 6d6a26-a156-48f0-9403-115983e5a956 subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab | arn:aws:securityhub:eu-central- 1:123456789012 : security- 6d6a26-a156-48f0-9403-115983e5a956 control/iam.9/finding/ab Ce champ ne fait plus référence à une norme. |
| ProductFields.ControlId | PCI.EC2.2 | Supprimé. Voir `Compliance.SecurityControlId` plutôt. Ce champ est supprimé au profit d'un identifiant de contrôle unique, indépendant de la norme. |
| ProductFields.RuleId | 1.3 | Supprimé. Voir `Compliance.SecurityControlId` plutôt. Ce champ est supprimé au profit d'un identifiant de contrôle unique, indépendant de la norme. |
| Description | Ce contrôle PCI DSS vérifie s'il AWS Config est activé dans le compte courant et dans la région. | Ce AWS contrôle vérifie si elle AWS Config est activée dans le compte courant et dans la région.Ce champ ne fait plus référence à une norme. |
| Sévérité | « Sévérité » : \$1 « Produit » : 90, « Label » : « CRITIQUE », « Normalisé » : 90, « Original » : « CRITIQUE » \$1 | « Sévérité » : \$1 « Label » : « CRITIQUE », « Normalisé » : 90, « Original » : « CRITIQUE » \$1 Security Hub CSPM n'utilise plus le champ Produit pour décrire la gravité d'une constatation. |
| Types | ["Logiciels, configuration Checks/Industry et normes réglementaires/PCI-DSS"] | [« Logiciels, configuration Checks/Industry et normes réglementaires »] Ce champ ne fait plus référence à une norme. |
| Conformité. RelatedRequirements | ["PCI DSS 10.5.2 », « PCI DSS 11,5 », « AWS Fondations de la CEI 2.5"] | [« PCI DSS v3.2.1/10.5.2 », « PCI DSS v3.2.1/11,5 », « CIS AWS Foundations Benchmark v1.2.0/2.5 »] Ce champ indique les exigences associées dans toutes les normes activées. |
| CreatedAt | 05.05-05T 08:18:13,138 Z | 2\$109-25T 08:18:13,138 Z Le format reste le même, mais la valeur est réinitialisée lorsque vous activez les résultats de contrôle consolidés. |
| FirstObservedAt | 2\$105-07T 08:18:13,138 Z | 2\$109-28T 08:18:13,138 Z Le format reste le même, mais la valeur est réinitialisée lorsque vous activez les résultats de contrôle consolidés. |
| ProductFields.RecommendationUrl | https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation | Supprimé. Voir `Remediation.Recommendation.Url` plutôt. |
| ProductFields.StandardsArn | arn:aws:securityhub : : /1.0.0 standards/aws-foundational-security-best-practices/v | Supprimé. Voir `Compliance.AssociatedStandards` plutôt. |
| ProductFields.StandardsControlArn | arn:aws:securityhub:us-east- 1:123456789012:1 control/aws-foundational-security-best-practices/v/1.0.0/Config | Supprimé. Security Hub CSPM génère un résultat pour un contrôle de sécurité dans toutes les normes. |
| ProductFields.StandardsGuideArn | arn:aws:securityhub : : /1.2.0 ruleset/cis-aws-foundations-benchmark/v | Supprimé. Voir `Compliance.AssociatedStandards` plutôt. |
| ProductFields.StandardsGuideSubscriptionArn | arn:aws:securityhub:us-east- 2:123456789012 : /1.2.0 subscription/cis-aws-foundations-benchmark/v | Supprimé. Security Hub CSPM génère un résultat pour un contrôle de sécurité dans toutes les normes. |
| ProductFields.StandardsSubscriptionArn | arn:aws:securityhub:us-east- 1:123456789012 : /1.0.0 subscription/aws-foundational-security-best-practices/v | Supprimé. Security Hub CSPM génère un résultat pour un contrôle de sécurité dans toutes les normes. |
| ProductFields.aws/securityhub/FindingId | arn:aws:securityhub:us-east-1 : :/751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding | arn:aws:securityhub:us-east-1 : :/751c2173-7372-4e12-8656-a5210dfb1d67 product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding Ce champ ne fait plus référence à une norme. |
### Valeurs pour les champs ASFF fournis par le client après activation des résultats de contrôle consolidés
Si vous activez les résultats de contrôle consolidés, Security Hub CSPM génère un résultat unique pour toutes les normes et archive les résultats originaux (résultats distincts pour chaque norme).
Les mises à jour que vous avez apportées aux résultats d'origine à l'aide de la console Security Hub CSPM ou de l'[https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html)opération ne seront pas conservées dans les nouvelles découvertes. Si nécessaire, vous pouvez récupérer ces données en vous référant aux résultats archivés. **Pour consulter les résultats archivés, vous pouvez utiliser la page **Résultats** de la console Security Hub CSPM et définir le filtre d'**état des enregistrements** sur ARCHIVÉ.** Vous pouvez également utiliser le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)fonctionnement de l'API Security Hub CSPM.
| Champ ASFF fourni par le client | Description du changement après activation des résultats de contrôle consolidés |
| --- | --- |
| Fiabilité | Repasse à l'état vide. |
| Criticité | Repasse à l'état vide. |
| Remarque | Repasse à l'état vide. |
| RelatedFindings | Repasse à l'état vide. |
| Sévérité | Gravité par défaut du résultat (correspond à la sévérité du contrôle). |
| Types | Réinitialise à une valeur indépendante de la norme. |
| UserDefinedFields | Repasse à l'état vide. |
| VerificationState | Repasse à l'état vide. |
| Flux de travail | La valeur par défaut des nouveaux résultats échoués est deNEW. Les nouvelles découvertes adoptées ont une valeur par défaut deRESOLVED. |
## Générateur IDs avant et après l'activation des résultats de contrôle consolidés
Le tableau suivant répertorie les modifications apportées aux valeurs d'ID du générateur pour les contrôles lorsque vous activez les résultats de contrôle consolidés. Ces modifications s'appliquent aux contrôles pris en charge par Security Hub CSPM depuis le 15 février 2023.
| GeneratorID avant d'activer les résultats de contrôle consolidés | GeneratorID après activation des résultats de contrôle consolidés |
| --- | --- |
| arn:aws:securityhub : : /1.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/1. CloudWatch |
| arn:aws:securityhub : : /1.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.16 |
| arn:aws:securityhub : : /1.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.17 |
| arn:aws:securityhub : :1 /1.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.4 |
| arn:aws:securityhub : :1 /1.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.9 |
| arn:aws:securityhub : :1 /1.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.6 |
| arn:aws:securityhub : :1 /1.16 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.2 |
| arn:aws:securityhub : : /1.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.5 |
| arn:aws:securityhub : : /1.20 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.18 |
| arn:aws:securityhub : : /1.22 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.1 |
| arn:aws:securityhub : :1 /1.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.8 |
| arn:aws:securityhub : :1 /1.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.3 |
| arn:aws:securityhub : :1 /1.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.11 |
| arn:aws:securityhub : :1 /1.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.12 |
| arn:aws:securityhub : : /1.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.13 |
| arn:aws:securityhub : : /1.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.14 |
| arn:aws:securityhub : :1 /1.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/IAM.15 |
| arn:aws:securityhub : : /2.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/1. CloudTrail |
| arn:aws:securityhub : : /2.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/4. CloudTrail |
| arn:aws:securityhub : :1 /2.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/ .6 CloudTrail |
| arn:aws:securityhub : :1 /2.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/.5 CloudTrail |
| arn:aws:securityhub : :1 /2.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/Config.1 |
| arn:aws:securityhub : :1 /2.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/7. CloudTrail |
| arn:aws:securityhub : : /2.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/2. CloudTrail |
| arn:aws:securityhub : :1 /2.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/KMS.4 |
| arn:aws:securityhub : :1 /2.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/EC2.6 |
| arn:aws:securityhub : :1 /3.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/2. CloudWatch |
| arn:aws:securityhub : :1 /3.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/3. CloudWatch |
| arn:aws:securityhub : :1 /3.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/1. CloudWatch |
| arn:aws:securityhub : :1 /3.4 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/4. CloudWatch |
| arn:aws:securityhub : :1 /3.5 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/.5 CloudWatch |
| arn:aws:securityhub : :1 /3.6 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/ .6 CloudWatch |
| arn:aws:securityhub : :1 /3.7 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/7. CloudWatch |
| arn:aws:securityhub : :1 /3.8 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/8. CloudWatch |
| arn:aws:securityhub : :1 /3.9 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/9. CloudWatch |
| arn:aws:securityhub : : /3.10 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/ .10 CloudWatch |
| arn:aws:securityhub : : /3.11 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/ 1.1 CloudWatch |
| arn:aws:securityhub : :1 /3.12 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/ 1.2 CloudWatch |
| arn:aws:securityhub : :1 /3.13 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/ 1.3 CloudWatch |
| arn:aws:securityhub : :1 /3.14 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | contrôle-de-sécurité/ 1.4 CloudWatch |
| arn:aws:securityhub : : /4.1 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/EC2.13 |
| arn:aws:securityhub : : /4.2 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/EC2.14 |
| arn:aws:securityhub : :1 /4.3 ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule | Contrôle de sécurité/EC2.2 |
| cis-aws-foundations-benchmark/v/1,4,0/1,10 | Contrôle de sécurité/IAM.5 |
| cis-aws-foundations-benchmark/v/1,4,0/1,14 | Contrôle de sécurité/IAM.3 |
| cis-aws-foundations-benchmark/v/1.4.0/1,16 | Contrôle de sécurité/IAM.1 |
| cis-aws-foundations-benchmark/v/1,4.0/1,17 | Contrôle de sécurité/IAM.18 |
| cis-aws-foundations-benchmark/v/1.4.0/1,4 | Contrôle de sécurité/IAM.4 |
| cis-aws-foundations-benchmark/v/1,4,0/1,5 | Contrôle de sécurité/IAM.9 |
| cis-aws-foundations-benchmark/v/1.4.0/1,6 | Contrôle de sécurité/IAM.6 |
| cis-aws-foundations-benchmark/v/1.4.0/1,7 | contrôle-de-sécurité/1. CloudWatch |
| cis-aws-foundations-benchmark/v/1,4.0/1,8 | Contrôle de sécurité/IAM.15 |
| cis-aws-foundations-benchmark/v/1.4.0/1,9 | Contrôle de sécurité/IAM.16 |
| cis-aws-foundations-benchmark/v/1.4.0/2.1.2 | Contrôle de sécurité/S3.5 |
| cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1 | Contrôle de sécurité/S3.1 |
| cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2 | Contrôles de sécurité/S3.8 |
| cis-aws-foundations-benchmark/v/1.4.0/2.2.1 | Contrôle de sécurité/EC2.7 |
| cis-aws-foundations-benchmark/v/1.4.0/2.3.1 | Contrôle de sécurité/RDS.3 |
| cis-aws-foundations-benchmark/v/1.4.0/3.1 | contrôle-de-sécurité/1. CloudTrail |
| cis-aws-foundations-benchmark/v/1.4.0/3.2 | contrôle-de-sécurité/4. CloudTrail |
| cis-aws-foundations-benchmark/v/1.4.0/3.4 | contrôle-de-sécurité/.5 CloudTrail |
| cis-aws-foundations-benchmark/v/1,4.0/3,5 | Contrôle de sécurité/Config.1 |
| cis-aws-foundations-benchmark/v/1.4.0/3,6 | Contrôles de sécurité/S3.9 |
| cis-aws-foundations-benchmark/v/1.4.0/3,7 | contrôle-de-sécurité/2. CloudTrail |
| cis-aws-foundations-benchmark/v/1.4.0/3,8 | Contrôle de sécurité/KMS.4 |
| cis-aws-foundations-benchmark/v/1.4.0/3,9 | Contrôle de sécurité/EC2.6 |
| cis-aws-foundations-benchmark/v/1.4.0/4.3 | contrôle-de-sécurité/1. CloudWatch |
| cis-aws-foundations-benchmark/v/1.4.0/4,4 | contrôle-de-sécurité/4. CloudWatch |
| cis-aws-foundations-benchmark/v/1,4.0/4,5 | contrôle-de-sécurité/.5 CloudWatch |
| cis-aws-foundations-benchmark/v/1.4.0/4.6 | contrôle-de-sécurité/ .6 CloudWatch |
| cis-aws-foundations-benchmark/v/1.4.0/4,7 | contrôle-de-sécurité/7. CloudWatch |
| cis-aws-foundations-benchmark/v/1,4.0/4,8 | contrôle-de-sécurité/8. CloudWatch |
| cis-aws-foundations-benchmark/v/1.4.0/4.9 | contrôle-de-sécurité/9. CloudWatch |
| cis-aws-foundations-benchmark/v/1,4.0/4,10 | contrôle-de-sécurité/ .10 CloudWatch |
| cis-aws-foundations-benchmark/v/1.4.0/4,11 | contrôle-de-sécurité/ 1.1 CloudWatch |
| cis-aws-foundations-benchmark/v/1.4.0/4,12 | contrôle-de-sécurité/ 1.2 CloudWatch |
| cis-aws-foundations-benchmark/v/1,4.0/4,13 | contrôle-de-sécurité/ 1.3 CloudWatch |
| cis-aws-foundations-benchmark/v/1,4.0/4,14 | contrôle-de-sécurité/ 1.4 CloudWatch |
| cis-aws-foundations-benchmark/v/1.4.0/5,1 | Contrôle de sécurité/EC2.21 |
| cis-aws-foundations-benchmark/v/1.4.0/5.3 | Contrôle de sécurité/EC2.2 |
| aws-foundational-security-best- practices/v/1.0.0/Account 1. | Contrôle de sécurité/compte.1 |
| aws-foundational-security-best- practices/v/1.0.0/ACM 1. | Contrôle de sécurité/ACM.1 |
| aws-foundational-security-best- practices/v/1.0.0/APIGateway 1. | contrôle-de-sécurité/1. APIGateway |
| aws-foundational-security-best- practices/v/1.0.0/APIGateway 2. | contrôle-de-sécurité/2. APIGateway |
| aws-foundational-security-best- practices/v/1.0.0/APIGateway 3. | contrôle-de-sécurité/3. APIGateway |
| aws-foundational-security-best- practices/v/1.0.0/APIGateway 4. | contrôle-de-sécurité/4. APIGateway |
| aws-foundational-security-best- practices/v/1.0.0/APIGateway 5. | contrôle-de-sécurité/.5 APIGateway |
| aws-foundational-security-best- 8practices/v/1.0.0/APIGateway. | contrôle-de-sécurité/8. APIGateway |
| aws-foundational-security-best- 9practices/v/1.0.0/APIGateway. | contrôle-de-sécurité/9. APIGateway |
| aws-foundational-security-best- practices/v/1.0.0/AutoScaling 1. | contrôle-de-sécurité/1. AutoScaling |
| aws-foundational-security-best- practices/v/1.0.0/AutoScaling 2. | contrôle-de-sécurité/2. AutoScaling |
| aws-foundational-security-best- practices/v/1.0.0/AutoScaling 3. | contrôle-de-sécurité/3. AutoScaling |
| aws-foundational-security-best- practices/v/1.0.0/Autoscaling 5. | Contrôle de sécurité/AutoScaling.5 |
| aws-foundational-security-best- 6practices/v/1.0.0/AutoScaling. | contrôle-de-sécurité/ .6 AutoScaling |
| aws-foundational-security-best- 9practices/v/1.0.0/AutoScaling. | contrôle-de-sécurité/9. AutoScaling |
| aws-foundational-security-best- practices/v/1.0.0/CloudFront 1. | contrôle-de-sécurité/1. CloudFront |
| aws-foundational-security-best- practices/v/1.0.0/CloudFront 3. | contrôle-de-sécurité/3. CloudFront |
| aws-foundational-security-best- practices/v/1.0.0/CloudFront 4. | contrôle-de-sécurité/4. CloudFront |
| aws-foundational-security-best- practices/v/1.0.0/CloudFront 5. | contrôle-de-sécurité/.5 CloudFront |
| aws-foundational-security-best- 6practices/v/1.0.0/CloudFront. | contrôle-de-sécurité/ .6 CloudFront |
| aws-foundational-security-best- 7practices/v/1.0.0/CloudFront. | contrôle-de-sécurité/7. CloudFront |
| aws-foundational-security-best- 8practices/v/1.0.0/CloudFront. | contrôle-de-sécurité/8. CloudFront |
| aws-foundational-security-best- 9practices/v/1.0.0/CloudFront. | contrôle-de-sécurité/9. CloudFront |
| aws-foundational-security-best- practices/v/1.0.0/CloudFront 1,0 | contrôle-de-sécurité/ .10 CloudFront |
| aws-foundational-security-best- practices/v/1.0.0/CloudFront 1,2 | contrôle-de-sécurité/ 1.2 CloudFront |
| aws-foundational-security-best- practices/v/1.0.0/CloudTrail 1. | contrôle-de-sécurité/1. CloudTrail |
| aws-foundational-security-best- practices/v/1.0.0/CloudTrail 2. | contrôle-de-sécurité/2. CloudTrail |
| aws-foundational-security-best- practices/v/1.0.0/CloudTrail 4. | contrôle-de-sécurité/4. CloudTrail |
| aws-foundational-security-best- practices/v/1.0.0/CloudTrail 5. | contrôle-de-sécurité/.5 CloudTrail |
| aws-foundational-security-best- practices/v/1.0.0/CodeBuild 1. | contrôle-de-sécurité/1. CodeBuild |
| aws-foundational-security-best- practices/v/1.0.0/CodeBuild 2. | contrôle-de-sécurité/2. CodeBuild |
| aws-foundational-security-best- practices/v/1.0.0/CodeBuild 3. | contrôle-de-sécurité/3. CodeBuild |
| aws-foundational-security-best- practices/v/1.0.0/CodeBuild 4. | contrôle-de-sécurité/4. CodeBuild |
| aws-foundational-security-best- practices/v/1.0.0/Config 1. | Contrôle de sécurité/Config.1 |
| aws-foundational-security-best- practices/v/1.0.0/DMS 1. | Contrôle de sécurité/DMS.1 |
| aws-foundational-security-best- practices/v/1.0.0/DynamoDB 1. | Contrôle de sécurité/DynamoDB.1 |
| aws-foundational-security-best- practices/v/1.0.0/DynamoDB 2. | Contrôle de sécurité/DynamoDB.2 |
| aws-foundational-security-best- practices/v/1.0.0/DynamoDB 3. | Contrôle de sécurité/DynamoDB.3 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,1 | Contrôle de sécurité/EC2.1 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,3 | Contrôle de sécurité/EC2.3 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,4 | Contrôle de sécurité/EC2.4 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,6 | Contrôle de sécurité/EC2.6 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,7 | Contrôle de sécurité/EC2.7 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,8 | Contrôle de sécurité/EC2.8 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,9 | Contrôle de sécurité/EC2.9 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,10 | Contrôle de sécurité/EC2.10 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,15 | Contrôle de sécurité/EC2.15 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,16 | Contrôle de sécurité/EC2.16 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,17 | Contrôle de sécurité/EC2.17 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,18 | Contrôle de sécurité/EC2.18 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,19 | Contrôle de sécurité/EC2.19 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,2 | Contrôle de sécurité/EC2.2 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,20 | Contrôle de sécurité/EC2.20 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,21 | Contrôle de sécurité/EC2.21 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,23 | Contrôle de sécurité/EC2.23 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,24 | Contrôle de sécurité/EC2.24 |
| aws-foundational-security-best- practices/v/1.0.0/EC 2,25 | Contrôle de sécurité/EC2.25 |
| aws-foundational-security-best- practices/v/1.0.0/ECR 1. | Contrôle de sécurité/ECR.1 |
| aws-foundational-security-best- practices/v/1.0.0/ECR 2. | Contrôle de sécurité/ECR.2 |
| aws-foundational-security-best- practices/v/1.0.0/ECR 3. | Contrôle de sécurité/ECR.3 |
| aws-foundational-security-best- practices/v/1.0.0/ECS 1. | Contrôle de sécurité/ECS.1 |
| aws-foundational-security-best- practices/v/1.0.0/ECS 1,0 | Contrôle de sécurité/ECS.10 |
| aws-foundational-security-best- practices/v/1.0.0/ECS 1,2 | Contrôle de sécurité/ECS.12 |
| aws-foundational-security-best- practices/v/1.0.0/ECS 2. | Contrôle de sécurité/ECS.2 |
| aws-foundational-security-best- practices/v/1.0.0/ECS 3. | Contrôle de sécurité/ECS.3 |
| aws-foundational-security-best- practices/v/1.0.0/ECS 4. | Contrôle de sécurité/ECS.4 |
| aws-foundational-security-best- practices/v/1.0.0/ECS 5. | Contrôle de sécurité/ECS.5 |
| aws-foundational-security-best- 8practices/v/1.0.0/ECS. | Contrôle de sécurité/ECS.8 |
| aws-foundational-security-best- practices/v/1.0.0/EFS 1. | Contrôle de sécurité/EFS.1 |
| aws-foundational-security-best- practices/v/1.0.0/EFS 2. | Contrôle de sécurité/EFS.2 |
| aws-foundational-security-best- practices/v/1.0.0/EFS 3. | Contrôle de sécurité/EFS.3 |
| aws-foundational-security-best- practices/v/1.0.0/EFS 4. | Contrôle de sécurité/EFS.4 |
| aws-foundational-security-best- practices/v/1.0.0/EKS 2. | Contrôle de sécurité/EKS.2 |
| aws-foundational-security-best- practices/v/1.0.0/ElasticBeanstalk 1. | contrôle-de-sécurité/1. ElasticBeanstalk |
| aws-foundational-security-best- practices/v/1.0.0/ElasticBeanstalk 2. | contrôle-de-sécurité/2. ElasticBeanstalk |
| aws-foundational-security-best- practices/v/1.0.0/ELBv 2,1 | Contrôle de sécurité/ELB.1 |
| aws-foundational-security-best- practices/v/1.0.0/ELB 2. | Contrôle de sécurité/ELB.2 |
| aws-foundational-security-best- practices/v/1.0.0/ELB 3. | Contrôle de sécurité/ELB.3 |
| aws-foundational-security-best- practices/v/1.0.0/ELB 4. | Contrôle de sécurité/ELB.4 |
| aws-foundational-security-best- practices/v/1.0.0/ELB 5. | Contrôle de sécurité/ELB.5 |
| aws-foundational-security-best- 6practices/v/1.0.0/ELB. | Contrôle de sécurité/ELB.6 |
| aws-foundational-security-best- 7practices/v/1.0.0/ELB. | Contrôle de sécurité/ELB.7 |
| aws-foundational-security-best- 8practices/v/1.0.0/ELB. | Contrôle de sécurité/ELB.8 |
| aws-foundational-security-best- 9practices/v/1.0.0/ELB. | Contrôle de sécurité/ELB.9 |
| aws-foundational-security-best- practices/v/1.0.0/ELB 1,0 | Contrôle de sécurité/ELB.10 |
| aws-foundational-security-best- practices/v/1.0.0/ELB 1,1 | Contrôle de sécurité/ELB.11 |
| aws-foundational-security-best- practices/v/1.0.0/ELB 1,2 | Contrôle de sécurité/ELB.12 |
| aws-foundational-security-best- practices/v/1.0.0/ELB 1,3 | Contrôle de sécurité/ELB.13 |
| aws-foundational-security-best- practices/v/1.0.0/ELB 1,4 | Contrôle de sécurité/ELB.14 |
| aws-foundational-security-best- practices/v/1.0.0/EMR 1. | Contrôle de sécurité/EMR.1 |
| aws-foundational-security-best- practices/v/1.0.0/ES 1. | Contrôle de sécurité/ES.1 |
| aws-foundational-security-best- practices/v/1.0.0/ES 2. | Contrôle de sécurité/ES.2 |
| aws-foundational-security-best- practices/v/1.0.0/ES 3. | Contrôle de sécurité/ES.3 |
| aws-foundational-security-best- practices/v/1.0.0/ES 4. | Contrôle de sécurité/ES.4 |
| aws-foundational-security-best- practices/v/1.0.0/ES 5. | Contrôle de sécurité/ES.5 |
| aws-foundational-security-best- 6practices/v/1.0.0/ES. | Contrôle de sécurité/ES.6 |
| aws-foundational-security-best- 7practices/v/1.0.0/ES. | Contrôle de sécurité/ES.7 |
| aws-foundational-security-best- 8practices/v/1.0.0/ES. | Contrôle de sécurité/ES.8 |
| aws-foundational-security-best- practices/v/1.0.0/GuardDuty 1. | contrôle-de-sécurité/1. GuardDuty |
| aws-foundational-security-best- practices/v/1.0.0/IAM 1. | Contrôle de sécurité/IAM.1 |
| aws-foundational-security-best- practices/v/1.0.0/IAM 2. | Contrôle de sécurité/IAM.2 |
| aws-foundational-security-best- practices/v/1.0.0/IAM 2,1 | Contrôle de sécurité/IAM.21 |
| aws-foundational-security-best- practices/v/1.0.0/IAM 3. | Contrôle de sécurité/IAM.3 |
| aws-foundational-security-best- practices/v/1.0.0/IAM 4. | Contrôle de sécurité/IAM.4 |
| aws-foundational-security-best- practices/v/1.0.0/IAM 5. | Contrôle de sécurité/IAM.5 |
| aws-foundational-security-best- 6practices/v/1.0.0/IAM. | Contrôle de sécurité/IAM.6 |
| aws-foundational-security-best- 7practices/v/1.0.0/IAM. | Contrôle de sécurité/IAM.7 |
| aws-foundational-security-best- 8practices/v/1.0.0/IAM. | Contrôle de sécurité/IAM.8 |
| aws-foundational-security-best- practices/v/1.0.0/Kinesis 1. | Contrôle de sécurité/Kinesis.1 |
| aws-foundational-security-best- practices/v/1.0.0/KMS 1. | Contrôle de sécurité/KMS.1 |
| aws-foundational-security-best- practices/v/1.0.0/KMS 2. | Contrôle de sécurité/KMS.2 |
| aws-foundational-security-best- practices/v/1.0.0/KMS 3. | Contrôle de sécurité/KMS.3 |
| aws-foundational-security-best- practices/v/1.0.0/Lambda 1. | Contrôle de sécurité/Lambda.1 |
| aws-foundational-security-best- practices/v/1.0.0/Lambda 2. | Contrôle de sécurité/LAMBDA.2 |
| aws-foundational-security-best- practices/v/1.0.0/Lambda 5. | Contrôle de sécurité/LAMBDA.5 |
| aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall 3. | contrôle-de-sécurité/3. NetworkFirewall |
| aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall 4. | contrôle-de-sécurité/4. NetworkFirewall |
| aws-foundational-security-best- practices/v/1.0.0/NetworkFirewall 5. | contrôle-de-sécurité/.5 NetworkFirewall |
| aws-foundational-security-best- 6practices/v/1.0.0/NetworkFirewall. | contrôle-de-sécurité/ .6 NetworkFirewall |
| aws-foundational-security-best- practices/v/1.0.0/Opensearch 1. | Contrôle de sécurité/OpenSearch.1 |
| aws-foundational-security-best- practices/v/1.0.0/Opensearch 2. | Contrôle de sécurité/OpenSearch.2 |
| aws-foundational-security-best- practices/v/1.0.0/Opensearch 3. | Contrôle de sécurité/OpenSearch.3 |
| aws-foundational-security-best- practices/v/1.0.0/Opensearch 4. | Contrôle de sécurité/OpenSearch.4 |
| aws-foundational-security-best- practices/v/1.0.0/Opensearch 5. | Contrôle de sécurité/OpenSearch.5 |
| aws-foundational-security-best- 6practices/v/1.0.0/Opensearch. | Contrôle de sécurité/OpenSearch.6 |
| aws-foundational-security-best- 7practices/v/1.0.0/Opensearch. | Contrôle de sécurité/OpenSearch.7 |
| aws-foundational-security-best- 8practices/v/1.0.0/Opensearch. | Contrôle de sécurité/OpenSearch.8 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1. | Contrôle de sécurité/RDS.1 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1,0 | Contrôle de sécurité/RDS.10 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1,1 | Contrôle de sécurité/RDS.11 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1,2 | Contrôle de sécurité/RDS.12 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1,3 | Contrôle de sécurité/RDS.13 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1,4 | Contrôle de sécurité/RDS.14 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1,5 | Contrôle de sécurité/RDS.15 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1,6 | Contrôle de sécurité/RDS.16 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1,7 | Contrôle de sécurité/RDS.17 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 1,9 | Contrôle de sécurité/RDS.19 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 2. | Contrôle de sécurité/RDS.2 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 2,0 | Contrôle de sécurité/RDS.20 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 2,1 | Contrôle de sécurité/RDS.21 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 2,2 | Contrôle de sécurité/RDS.22 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 2,3 | Contrôle de sécurité/RDS.23 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 2,4 | Contrôle de sécurité/RDS.24 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 2,5 | Contrôle de sécurité/RDS.25 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 3. | Contrôle de sécurité/RDS.3 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 4. | Contrôle de sécurité/RDS.4 |
| aws-foundational-security-best- practices/v/1.0.0/RDS 5. | Contrôle de sécurité/RDS.5 |
| aws-foundational-security-best- 6practices/v/1.0.0/RDS. | Contrôle de sécurité/RDS.6 |
| aws-foundational-security-best- 7practices/v/1.0.0/RDS. | Contrôle de sécurité/RDS.7 |
| aws-foundational-security-best- 8practices/v/1.0.0/RDS. | Contrôle de sécurité/RDS.8 |
| aws-foundational-security-best- 9practices/v/1.0.0/RDS. | Contrôle de sécurité/RDS.9 |
| aws-foundational-security-best- practices/v/1.0.0/Redshift 1. | Contrôle de sécurité/RedShift.1 |
| aws-foundational-security-best- practices/v/1.0.0/Redshift 2. | Contrôle de sécurité/RedShift.2 |
| aws-foundational-security-best- practices/v/1.0.0/Redshift 3. | Contrôle de sécurité/RedShift.3 |
| aws-foundational-security-best- practices/v/1.0.0/Redshift 4. | Contrôle de sécurité/RedShift.4 |
| aws-foundational-security-best- 6practices/v/1.0.0/Redshift. | Contrôle de sécurité/RedShift.6 |
| aws-foundational-security-best- 7practices/v/1.0.0/Redshift. | Contrôle de sécurité/RedShift.7 |
| aws-foundational-security-best- 8practices/v/1.0.0/Redshift. | Contrôle de sécurité/RedShift.8 |
| aws-foundational-security-best- 9practices/v/1.0.0/Redshift. | Contrôle de sécurité/RedShift.9 |
| aws-foundational-security-best- practices/v/1.0.0/S 3,1 | Contrôle de sécurité/S3.1 |
| aws-foundational-security-best- practices/v/1.0.0/S 3,12 | Contrôle de sécurité/S3.12 |
| aws-foundational-security-best- practices/v/1.0.0/S 3,13 | Contrôle de sécurité/S3.13 |
| aws-foundational-security-best- practices/v/1.0.0/S 3,2 | Contrôles de sécurité/S3.2 |
| aws-foundational-security-best- practices/v/1.0.0/S 3,3 | Contrôles de sécurité/S3.3 |
| aws-foundational-security-best- practices/v/1.0.0/S 3,5 | Contrôle de sécurité/S3.5 |
| aws-foundational-security-best- practices/v/1.0.0/S 3,6 | Contrôle de sécurité/S3.6 |
| aws-foundational-security-best- practices/v/1.0.0/S 3,8 | Contrôles de sécurité/S3.8 |
| aws-foundational-security-best- practices/v/1.0.0/S 3,9 | Contrôles de sécurité/S3.9 |
| aws-foundational-security-best- practices/v/1.0.0/SageMaker 1. | contrôle-de-sécurité/1. SageMaker |
| aws-foundational-security-best- practices/v/1.0.0/SageMaker 2. | contrôle-de-sécurité/2. SageMaker |
| aws-foundational-security-best- practices/v/1.0.0/SageMaker 3. | contrôle-de-sécurité/3. SageMaker |
| aws-foundational-security-best- practices/v/1.0.0/SecretsManager 1. | contrôle-de-sécurité/1. SecretsManager |
| aws-foundational-security-best- practices/v/1.0.0/SecretsManager 2. | contrôle-de-sécurité/2. SecretsManager |
| aws-foundational-security-best- practices/v/1.0.0/SecretsManager 3. | contrôle-de-sécurité/3. SecretsManager |
| aws-foundational-security-best- practices/v/1.0.0/SecretsManager 4. | contrôle-de-sécurité/4. SecretsManager |
| aws-foundational-security-best- practices/v/1.0.0/SQS 1. | Contrôle de sécurité/SQS.1 |
| aws-foundational-security-best- practices/v/1.0.0/SSM 1. | Contrôle de sécurité/SSM.1 |
| aws-foundational-security-best- practices/v/1.0.0/SSM 2. | Contrôle de sécurité/SSM.2 |
| aws-foundational-security-best- practices/v/1.0.0/SSM 3. | Contrôle de sécurité/SSM.3 |
| aws-foundational-security-best- practices/v/1.0.0/SSM 4. | Contrôle de sécurité/SSM.4 |
| aws-foundational-security-best- practices/v/1.0.0/WAF 1. | Contrôle de sécurité/WAF.1 |
| aws-foundational-security-best- practices/v/1.0.0/WAF 2. | Contrôle de sécurité/WAF.2 |
| aws-foundational-security-best- practices/v/1.0.0/WAF 3. | Contrôle de sécurité/WAF.3 |
| aws-foundational-security-best- practices/v/1.0.0/WAF 4. | Contrôle de sécurité/WAF.4 |
| aws-foundational-security-best- 6practices/v/1.0.0/WAF. | Contrôle de sécurité/WAF.6 |
| aws-foundational-security-best- 7practices/v/1.0.0/WAF. | Contrôle de sécurité/WAF.7 |
| aws-foundational-security-best- 8practices/v/1.0.0/WAF. | Contrôle de sécurité/WAF.8 |
| aws-foundational-security-best- practices/v/1.0.0/WAF 1,0 | Contrôle de sécurité/WAF.10 |
| pci-. dss/v/3.2.1/PCI AutoScaling1. | contrôle-de-sécurité/1. AutoScaling |
| pci-. dss/v/3.2.1/PCI CloudTrail1. | contrôle-de-sécurité/2. CloudTrail |
| pci-. dss/v/3.2.1/PCI CloudTrail2. | contrôle-de-sécurité/3. CloudTrail |
| pci-. dss/v/3.2.1/PCI CloudTrail3. | contrôle-de-sécurité/4. CloudTrail |
| pci-. dss/v/3.2.1/PCI CloudTrail4. | contrôle-de-sécurité/.5 CloudTrail |
| pci-. dss/v/3.2.1/PCI CodeBuild1. | contrôle-de-sécurité/1. CodeBuild |
| pci-. dss/v/3.2.1/PCI CodeBuild2. | contrôle-de-sécurité/2. CodeBuild |
| pci- .Config.1 dss/v/3.2.1/PCI | Contrôle de sécurité/Config.1 |
| pci-C.W.1 dss/v/3.2.1/PCI | contrôle-de-sécurité/1. CloudWatch |
| pci- .DMS.1 dss/v/3.2.1/PCI | Contrôle de sécurité/DMS.1 |
| pci-EC2.1 dss/v/3.2.1/PCI | Contrôle de sécurité/EC2.1 |
| pci-EC2.2 dss/v/3.2.1/PCI | Contrôle de sécurité/EC2.2 |
| pci-EC2.4 dss/v/3.2.1/PCI | Contrôle de sécurité/EC2.12 |
| pci-EC2,5 dss/v/3.2.1/PCI | Contrôle de sécurité/EC2.13 |
| pci-EC2.6 dss/v/3.2.1/PCI | Contrôle de sécurité/EC2.6 |
| pci-. dss/v/3.2.1/PCI ELBv21. | Contrôle de sécurité/ELB.1 |
| pci-ES.1 dss/v/3.2.1/PCI | Contrôle de sécurité/ES.2 |
| pci-E.ES.2 dss/v/3.2.1/PCI | Contrôle de sécurité/ES.1 |
| pci-. dss/v/3.2.1/PCI GuardDuty1. | contrôle-de-sécurité/1. GuardDuty |
| pci- .IAM.1 dss/v/3.2.1/PCI | Contrôle de sécurité/IAM.4 |
| pci- .IAM.2 dss/v/3.2.1/PCI | Contrôle de sécurité/IAM.2 |
| pci- .IAM.3 dss/v/3.2.1/PCI | Contrôle de sécurité/IAM.1 |
| pci- .IAM.4 dss/v/3.2.1/PCI | Contrôle de sécurité/IAM.6 |
| pci- .IAM.5 dss/v/3.2.1/PCI | Contrôle de sécurité/IAM.9 |
| pci- .IAM.6 dss/v/3.2.1/PCI | Contrôle de sécurité/IAM.19 |
| pci- .IAM.7 dss/v/3.2.1/PCI | Contrôle de sécurité/IAM.8 |
| pci- .IAM.8 dss/v/3.2.1/PCI | Contrôle de sécurité/IAM.10 |
| pci- KMS.1 dss/v/3.2.1/PCI | Contrôle de sécurité/KMS.4 |
| pci- dss/v/3.2.1/PCI .Lambda.1 | Contrôle de sécurité/Lambda.1 |
| pci- dss/v/3.2.1/PCI .Lambda.2 | Contrôle de sécurité/LAMBDA.3 |
| pci- .Opensearch.1 dss/v/3.2.1/PCI | Contrôle de sécurité/OpenSearch.2 |
| pci- .Opensearch.2 dss/v/3.2.1/PCI | Contrôle de sécurité/OpenSearch.1 |
| pci-RDS.1 dss/v/3.2.1/PCI | Contrôle de sécurité/RDS.1 |
| pci- RDS.2 dss/v/3.2.1/PCI | Contrôle de sécurité/RDS.2 |
| pci- .Redshift.1 dss/v/3.2.1/PCI | Contrôle de sécurité/RedShift.1 |
| pci-S.3.1 dss/v/3.2.1/PCI | Contrôles de sécurité/S3.3 |
| pci-S.3.2 dss/v/3.2.1/PCI | Contrôles de sécurité/S3.2 |
| pci-S.3.3 dss/v/3.2.1/PCI | Contrôles de sécurité/S3.7 |
| pci-S.3.5 dss/v/3.2.1/PCI | Contrôle de sécurité/S3.5 |
| pci-S.3.6 dss/v/3.2.1/PCI | Contrôle de sécurité/S3.1 |
| pci-. dss/v/3.2.1/PCI SageMaker1. | contrôle-de-sécurité/1. SageMaker |
| pci-SSM.1 dss/v/3.2.1/PCI | Contrôle de sécurité/SSM.2 |
| pci-SSM.2 dss/v/3.2.1/PCI | Contrôle de sécurité/SSM.3 |
| pci-SSM.3 dss/v/3.2.1/PCI | Contrôle de sécurité/SSM.1 |
| service-managed-aws-control- tower/v/1.0.0/ACM 1. | Contrôle de sécurité/ACM.1 |
| service-managed-aws-control- tower/v/1.0.0/APIGateway 1. | contrôle-de-sécurité/1. APIGateway |
| service-managed-aws-control- tower/v/1.0.0/APIGateway 2. | contrôle-de-sécurité/2. APIGateway |
| service-managed-aws-control- tower/v/1.0.0/APIGateway 3. | contrôle-de-sécurité/3. APIGateway |
| service-managed-aws-control- tower/v/1.0.0/APIGateway 4. | contrôle-de-sécurité/4. APIGateway |
| service-managed-aws-control- tower/v/1.0.0/APIGateway 5. | contrôle-de-sécurité/.5 APIGateway |
| service-managed-aws-control- tower/v/1.0.0/AutoScaling 1. | contrôle-de-sécurité/1. AutoScaling |
| service-managed-aws-control- tower/v/1.0.0/AutoScaling 2. | contrôle-de-sécurité/2. AutoScaling |
| service-managed-aws-control- tower/v/1.0.0/AutoScaling 3. | contrôle-de-sécurité/3. AutoScaling |
| service-managed-aws-control- tower/v/1.0.0/AutoScaling 4. | contrôle-de-sécurité/4. AutoScaling |
| service-managed-aws-control- tower/v/1.0.0/Autoscaling 5. | Contrôle de sécurité/AutoScaling.5 |
| service-managed-aws-control- 6tower/v/1.0.0/AutoScaling. | contrôle-de-sécurité/ .6 AutoScaling |
| service-managed-aws-control- 9tower/v/1.0.0/AutoScaling. | contrôle-de-sécurité/9. AutoScaling |
| service-managed-aws-control- tower/v/1.0.0/CloudTrail 1. | contrôle-de-sécurité/1. CloudTrail |
| service-managed-aws-control- tower/v/1.0.0/CloudTrail 2. | contrôle-de-sécurité/2. CloudTrail |
| service-managed-aws-control- tower/v/1.0.0/CloudTrail 4. | contrôle-de-sécurité/4. CloudTrail |
| service-managed-aws-control- tower/v/1.0.0/CloudTrail 5. | contrôle-de-sécurité/.5 CloudTrail |
| service-managed-aws-control- tower/v/1.0.0/CodeBuild 1. | contrôle-de-sécurité/1. CodeBuild |
| service-managed-aws-control- tower/v/1.0.0/CodeBuild 2. | contrôle-de-sécurité/2. CodeBuild |
| service-managed-aws-control- tower/v/1.0.0/CodeBuild 4. | contrôle-de-sécurité/4. CodeBuild |
| service-managed-aws-control- tower/v/1.0.0/CodeBuild 5. | contrôle-de-sécurité/.5 CodeBuild |
| service-managed-aws-control- tower/v/1.0.0/DMS 1. | Contrôle de sécurité/DMS.1 |
| service-managed-aws-control- tower/v/1.0.0/DynamoDB 1. | Contrôle de sécurité/DynamoDB.1 |
| service-managed-aws-control- tower/v/1.0.0/DynamoDB 2. | Contrôle de sécurité/DynamoDB.2 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,1 | Contrôle de sécurité/EC2.1 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,2 | Contrôle de sécurité/EC2.2 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,3 | Contrôle de sécurité/EC2.3 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,4 | Contrôle de sécurité/EC2.4 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,6 | Contrôle de sécurité/EC2.6 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,7 | Contrôle de sécurité/EC2.7 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,8 | Contrôle de sécurité/EC2.8 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,9 | Contrôle de sécurité/EC2.9 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,10 | Contrôle de sécurité/EC2.10 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,15 | Contrôle de sécurité/EC2.15 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,16 | Contrôle de sécurité/EC2.16 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,17 | Contrôle de sécurité/EC2.17 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,18 | Contrôle de sécurité/EC2.18 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,19 | Contrôle de sécurité/EC2.19 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,20 | Contrôle de sécurité/EC2.20 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,21 | Contrôle de sécurité/EC2.21 |
| service-managed-aws-control- tower/v/1.0.0/EC 2,22 | Contrôle de sécurité/EC2.22 |
| service-managed-aws-control- tower/v/1.0.0/ECR 1. | Contrôle de sécurité/ECR.1 |
| service-managed-aws-control- tower/v/1.0.0/ECR 2. | Contrôle de sécurité/ECR.2 |
| service-managed-aws-control- tower/v/1.0.0/ECR 3. | Contrôle de sécurité/ECR.3 |
| service-managed-aws-control- tower/v/1.0.0/ECS 1. | Contrôle de sécurité/ECS.1 |
| service-managed-aws-control- tower/v/1.0.0/ECS 2. | Contrôle de sécurité/ECS.2 |
| service-managed-aws-control- tower/v/1.0.0/ECS 3. | Contrôle de sécurité/ECS.3 |
| service-managed-aws-control- tower/v/1.0.0/ECS 4. | Contrôle de sécurité/ECS.4 |
| service-managed-aws-control- tower/v/1.0.0/ECS 5. | Contrôle de sécurité/ECS.5 |
| service-managed-aws-control- 8tower/v/1.0.0/ECS. | Contrôle de sécurité/ECS.8 |
| service-managed-aws-control- tower/v/1.0.0/ECS 1,0 | Contrôle de sécurité/ECS.10 |
| service-managed-aws-control- tower/v/1.0.0/ECS 1,2 | Contrôle de sécurité/ECS.12 |
| service-managed-aws-control- tower/v/1.0.0/EFS 1. | Contrôle de sécurité/EFS.1 |
| service-managed-aws-control- tower/v/1.0.0/EFS 2. | Contrôle de sécurité/EFS.2 |
| service-managed-aws-control- tower/v/1.0.0/EFS 3. | Contrôle de sécurité/EFS.3 |
| service-managed-aws-control- tower/v/1.0.0/EFS 4. | Contrôle de sécurité/EFS.4 |
| service-managed-aws-control- tower/v/1.0.0/EKS 2. | Contrôle de sécurité/EKS.2 |
| service-managed-aws-control- tower/v/1.0.0/ELB 2. | Contrôle de sécurité/ELB.2 |
| service-managed-aws-control- tower/v/1.0.0/ELB 3. | Contrôle de sécurité/ELB.3 |
| service-managed-aws-control- tower/v/1.0.0/ELB 4. | Contrôle de sécurité/ELB.4 |
| service-managed-aws-control- tower/v/1.0.0/ELB 5. | Contrôle de sécurité/ELB.5 |
| service-managed-aws-control- 6tower/v/1.0.0/ELB. | Contrôle de sécurité/ELB.6 |
| service-managed-aws-control- 7tower/v/1.0.0/ELB. | Contrôle de sécurité/ELB.7 |
| service-managed-aws-control- 8tower/v/1.0.0/ELB. | Contrôle de sécurité/ELB.8 |
| service-managed-aws-control- 9tower/v/1.0.0/ELB. | Contrôle de sécurité/ELB.9 |
| service-managed-aws-control- tower/v/1.0.0/ELB 1,0 | Contrôle de sécurité/ELB.10 |
| service-managed-aws-control- tower/v/1.0.0/ELB 1,2 | Contrôle de sécurité/ELB.12 |
| service-managed-aws-control- tower/v/1.0.0/ELB 1,3 | Contrôle de sécurité/ELB.13 |
| service-managed-aws-control- tower/v/1.0.0/ELB 1,4 | Contrôle de sécurité/ELB.14 |
| service-managed-aws-control- tower/v/1.0.0/ELBv 2,1 | contrôle-de-sécurité/1. ELBv2 |
| service-managed-aws-control- tower/v/1.0.0/EMR 1. | Contrôle de sécurité/EMR.1 |
| service-managed-aws-control- tower/v/1.0.0/ES 1. | Contrôle de sécurité/ES.1 |
| service-managed-aws-control- tower/v/1.0.0/ES 2. | Contrôle de sécurité/ES.2 |
| service-managed-aws-control- tower/v/1.0.0/ES 3. | Contrôle de sécurité/ES.3 |
| service-managed-aws-control- tower/v/1.0.0/ES 4. | Contrôle de sécurité/ES.4 |
| service-managed-aws-control- tower/v/1.0.0/ES 5. | Contrôle de sécurité/ES.5 |
| service-managed-aws-control- 6tower/v/1.0.0/ES. | Contrôle de sécurité/ES.6 |
| service-managed-aws-control- 7tower/v/1.0.0/ES. | Contrôle de sécurité/ES.7 |
| service-managed-aws-control- 8tower/v/1.0.0/ES. | Contrôle de sécurité/ES.8 |
| service-managed-aws-control- tower/v/1.0.0/ElasticBeanstalk 1. | contrôle-de-sécurité/1. ElasticBeanstalk |
| service-managed-aws-control- tower/v/1.0.0/ElasticBeanstalk 2. | contrôle-de-sécurité/2. ElasticBeanstalk |
| service-managed-aws-control- tower/v/1.0.0/GuardDuty 1. | contrôle-de-sécurité/1. GuardDuty |
| service-managed-aws-control- tower/v/1.0.0/IAM 1. | Contrôle de sécurité/IAM.1 |
| service-managed-aws-control- tower/v/1.0.0/IAM 2. | Contrôle de sécurité/IAM.2 |
| service-managed-aws-control- tower/v/1.0.0/IAM 3. | Contrôle de sécurité/IAM.3 |
| service-managed-aws-control- tower/v/1.0.0/IAM 4. | Contrôle de sécurité/IAM.4 |
| service-managed-aws-control- tower/v/1.0.0/IAM 5. | Contrôle de sécurité/IAM.5 |
| service-managed-aws-control- 6tower/v/1.0.0/IAM. | Contrôle de sécurité/IAM.6 |
| service-managed-aws-control- 7tower/v/1.0.0/IAM. | Contrôle de sécurité/IAM.7 |
| service-managed-aws-control- 8tower/v/1.0.0/IAM. | Contrôle de sécurité/IAM.8 |
| service-managed-aws-control- tower/v/1.0.0/IAM 2,1 | Contrôle de sécurité/IAM.21 |
| service-managed-aws-control- tower/v/1.0.0/Kinesis 1. | Contrôle de sécurité/Kinesis.1 |
| service-managed-aws-control- tower/v/1.0.0/KMS 1. | Contrôle de sécurité/KMS.1 |
| service-managed-aws-control- tower/v/1.0.0/KMS 2. | Contrôle de sécurité/KMS.2 |
| service-managed-aws-control- tower/v/1.0.0/KMS 3. | Contrôle de sécurité/KMS.3 |
| service-managed-aws-control- tower/v/1.0.0/Lambda 1. | Contrôle de sécurité/Lambda.1 |
| service-managed-aws-control- tower/v/1.0.0/Lambda 2. | Contrôle de sécurité/LAMBDA.2 |
| service-managed-aws-control- tower/v/1.0.0/Lambda 5. | Contrôle de sécurité/LAMBDA.5 |
| service-managed-aws-control- tower/v/1.0.0/NetworkFirewall 3. | contrôle-de-sécurité/3. NetworkFirewall |
| service-managed-aws-control- tower/v/1.0.0/NetworkFirewall 4. | contrôle-de-sécurité/4. NetworkFirewall |
| service-managed-aws-control- tower/v/1.0.0/NetworkFirewall 5. | contrôle-de-sécurité/.5 NetworkFirewall |
| service-managed-aws-control- 6tower/v/1.0.0/NetworkFirewall. | contrôle-de-sécurité/ .6 NetworkFirewall |
| service-managed-aws-control- tower/v/1.0.0/Opensearch 1. | Contrôle de sécurité/OpenSearch.1 |
| service-managed-aws-control- tower/v/1.0.0/Opensearch 2. | Contrôle de sécurité/OpenSearch.2 |
| service-managed-aws-control- tower/v/1.0.0/Opensearch 3. | Contrôle de sécurité/OpenSearch.3 |
| service-managed-aws-control- tower/v/1.0.0/Opensearch 4. | Contrôle de sécurité/OpenSearch.4 |
| service-managed-aws-control- tower/v/1.0.0/Opensearch 5. | Contrôle de sécurité/OpenSearch.5 |
| service-managed-aws-control- 6tower/v/1.0.0/Opensearch. | Contrôle de sécurité/OpenSearch.6 |
| service-managed-aws-control- 7tower/v/1.0.0/Opensearch. | Contrôle de sécurité/OpenSearch.7 |
| service-managed-aws-control- 8tower/v/1.0.0/Opensearch. | Contrôle de sécurité/OpenSearch.8 |
| service-managed-aws-control- tower/v/1.0.0/RDS 1. | Contrôle de sécurité/RDS.1 |
| service-managed-aws-control- tower/v/1.0.0/RDS 2. | Contrôle de sécurité/RDS.2 |
| service-managed-aws-control- tower/v/1.0.0/RDS 3. | Contrôle de sécurité/RDS.3 |
| service-managed-aws-control- tower/v/1.0.0/RDS 4. | Contrôle de sécurité/RDS.4 |
| service-managed-aws-control- tower/v/1.0.0/RDS 5. | Contrôle de sécurité/RDS.5 |
| service-managed-aws-control- 6tower/v/1.0.0/RDS. | Contrôle de sécurité/RDS.6 |
| service-managed-aws-control- 8tower/v/1.0.0/RDS. | Contrôle de sécurité/RDS.8 |
| service-managed-aws-control- 9tower/v/1.0.0/RDS. | Contrôle de sécurité/RDS.9 |
| service-managed-aws-control- tower/v/1.0.0/RDS 1,0 | Contrôle de sécurité/RDS.10 |
| service-managed-aws-control- tower/v/1.0.0/RDS 1,1 | Contrôle de sécurité/RDS.11 |
| service-managed-aws-control- tower/v/1.0.0/RDS 1,3 | Contrôle de sécurité/RDS.13 |
| service-managed-aws-control- tower/v/1.0.0/RDS 1,7 | Contrôle de sécurité/RDS.17 |
| service-managed-aws-control- tower/v/1.0.0/RDS 1,8 | Contrôle de sécurité/RDS.18 |
| service-managed-aws-control- tower/v/1.0.0/RDS 1,9 | Contrôle de sécurité/RDS.19 |
| service-managed-aws-control- tower/v/1.0.0/RDS 2,0 | Contrôle de sécurité/RDS.20 |
| service-managed-aws-control- tower/v/1.0.0/RDS 2,1 | Contrôle de sécurité/RDS.21 |
| service-managed-aws-control- tower/v/1.0.0/RDS 2,2 | Contrôle de sécurité/RDS.22 |
| service-managed-aws-control- tower/v/1.0.0/RDS 2,3 | Contrôle de sécurité/RDS.23 |
| service-managed-aws-control- tower/v/1.0.0/RDS 2,5 | Contrôle de sécurité/RDS.25 |
| service-managed-aws-control- tower/v/1.0.0/Redshift 1. | Contrôle de sécurité/RedShift.1 |
| service-managed-aws-control- tower/v/1.0.0/Redshift 2. | Contrôle de sécurité/RedShift.2 |
| service-managed-aws-control- tower/v/1.0.0/Redshift 4. | Contrôle de sécurité/RedShift.4 |
| service-managed-aws-control- 6tower/v/1.0.0/Redshift. | Contrôle de sécurité/RedShift.6 |
| service-managed-aws-control- 7tower/v/1.0.0/Redshift. | Contrôle de sécurité/RedShift.7 |
| service-managed-aws-control- 8tower/v/1.0.0/Redshift. | Contrôle de sécurité/RedShift.8 |
| service-managed-aws-control- 9tower/v/1.0.0/Redshift. | Contrôle de sécurité/RedShift.9 |
| service-managed-aws-control- tower/v/1.0.0/S 3,1 | Contrôle de sécurité/S3.1 |
| service-managed-aws-control- tower/v/1.0.0/S 3,2 | Contrôles de sécurité/S3.2 |
| service-managed-aws-control- tower/v/1.0.0/S 3,3 | Contrôles de sécurité/S3.3 |
| service-managed-aws-control- tower/v/1.0.0/S 3,5 | Contrôle de sécurité/S3.5 |
| service-managed-aws-control- tower/v/1.0.0/S 3,6 | Contrôle de sécurité/S3.6 |
| service-managed-aws-control- tower/v/1.0.0/S 3,8 | Contrôles de sécurité/S3.8 |
| service-managed-aws-control- tower/v/1.0.0/S 3,9 | Contrôles de sécurité/S3.9 |
| service-managed-aws-control- tower/v/1.0.0/S 3,12 | Contrôle de sécurité/S3.12 |
| service-managed-aws-control- tower/v/1.0.0/S 3,13 | Contrôle de sécurité/S3.13 |
| service-managed-aws-control- tower/v/1.0.0/SageMaker 1. | contrôle-de-sécurité/1. SageMaker |
| service-managed-aws-control- tower/v/1.0.0/SecretsManager 1. | contrôle-de-sécurité/1. SecretsManager |
| service-managed-aws-control- tower/v/1.0.0/SecretsManager 2. | contrôle-de-sécurité/2. SecretsManager |
| service-managed-aws-control- tower/v/1.0.0/SecretsManager 3. | contrôle-de-sécurité/3. SecretsManager |
| service-managed-aws-control- tower/v/1.0.0/SecretsManager 4. | contrôle-de-sécurité/4. SecretsManager |
| service-managed-aws-control- tower/v/1.0.0/SQS 1. | Contrôle de sécurité/SQS.1 |
| service-managed-aws-control- tower/v/1.0.0/SSM 1. | Contrôle de sécurité/SSM.1 |
| service-managed-aws-control- tower/v/1.0.0/SSM 2. | Contrôle de sécurité/SSM.2 |
| service-managed-aws-control- tower/v/1.0.0/SSM 3. | Contrôle de sécurité/SSM.3 |
| service-managed-aws-control- tower/v/1.0.0/SSM 4. | Contrôle de sécurité/SSM.4 |
| service-managed-aws-control- tower/v/1.0.0/WAF 2. | Contrôle de sécurité/WAF.2 |
| service-managed-aws-control- tower/v/1.0.0/WAF 3. | Contrôle de sécurité/WAF.3 |
| service-managed-aws-control- tower/v/1.0.0/WAF 4. | Contrôle de sécurité/WAF.4 |
## L'impact de la consolidation sur le contrôle IDs et les titres
La vue consolidée des contrôles et les résultats des contrôles consolidés normalisent le contrôle IDs et les titres selon les normes. Les termes *ID du contrôle de sécurité* et *titre du contrôle de sécurité* font référence à ces valeurs indépendantes des normes.
La console Security Hub CSPM affiche les titres des contrôles de sécurité IDs et des contrôles de sécurité indépendants des normes, que les résultats des contrôles consolidés soient activés ou désactivés pour votre compte. Toutefois, les résultats du Security Hub CSPM contiennent des titres de contrôle spécifiques aux normes, pour PCI DSS et CIS v1.2.0, si les résultats de contrôle consolidés sont désactivés pour votre compte. En outre, les résultats du Security Hub CSPM contiennent l'ID de contrôle et l'ID de contrôle de sécurité spécifiques à la norme. Pour des exemples illustrant l'impact de la consolidation sur les résultats des contrôles, voir[Échantillons de résultats de contrôle](sample-control-findings.md).
Pour les contrôles qui font partie de la [norme de AWS Control Tower gestion des services](service-managed-standard-aws-control-tower.md), le préfixe `CT.` est supprimé de l'ID et du titre du contrôle dans les résultats lorsque les résultats de contrôle consolidés sont activés.
Pour désactiver un contrôle de sécurité dans Security Hub CSPM, vous devez désactiver tous les contrôles standard correspondant au contrôle de sécurité. Le tableau suivant montre le mappage du contrôle de sécurité IDs et des titres avec les contrôles IDs et titres spécifiques à la norme. IDs et les titres des contrôles qui appartiennent à la norme AWS Foundational Security Best Practices (FSBP) sont déjà indépendants de la norme. Pour un mappage des contrôles par rapport aux exigences du Center for Internet Security (CIS) v3.0.0, voir. [Mise en correspondance des contrôles avec les exigences du CIS dans chaque version](cis-aws-foundations-benchmark.md#cis-version-comparison) Pour exécuter vos propres scripts sur ce tableau, vous pouvez le [télécharger sous forme de fichier .csv.](samples/Consolidation_ID_Title_Changes.csv.zip)
| Standard | ID et titre de contrôle standard | ID et titre du contrôle de sécurité |
| --- | --- | --- |
| CIS v1.2.0 | 1.1 Évitez d'utiliser l'utilisateur root | [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1) |
| CIS v1.2.0 | 1.10 Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe | [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) |
| CIS v1.2.0 | 1.11 Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins | [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17) |
| CIS v1.2.0 | 1.12 Assurez-vous qu'aucune clé d'accès utilisateur root n'existe | [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) |
| CIS v1.2.0 | 1.13 Assurez-vous que le MFA est activé pour l'utilisateur root | [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) |
| CIS v1.2.0 | 1.14 Assurez-vous que le MFA matériel est activé pour l'utilisateur root | [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) |
| CIS v1.2.0 | 1.16 Assurez-vous que les politiques IAM sont associées uniquement aux groupes ou aux rôles | [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) |
| CIS v1.2.0 | 1.2 Assurez-vous que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM disposant d'un mot de passe de console | [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) |
| CIS v1.2.0 | 1.20 Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support | [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) |
| CIS v1.2.0 | 1.22 Assurez-vous que les politiques IAM autorisant des privilèges administratifs complets « \$1 : \$1 » ne sont pas créées | [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) |
| CIS v1.2.0 | 1.3 Vérifier que les informations d'identification inutilisées depuis 90 jours ou plus sont désactivées | [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) |
| CIS v1.2.0 | 1.4 Vérifier que les clés d'accès font l'objet d'une rotation tous les 90 jours ou moins | [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) |
| CIS v1.2.0 | 1.5 Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule | [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11) |
| CIS v1.2.0 | 1.6 Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule | [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12) |
| CIS v1.2.0 | 1.7 Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole | [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13) |
| CIS v1.2.0 | 1.8 Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre | [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14) |
| CIS v1.2.0 | 1.9 Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus | [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) |
| CIS v1.2.0 | 2.1 Assurez-vous que CloudTrail c'est activé dans toutes les régions | [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1) |
| CIS v1.2.0 | 2.2 Assurez-vous que la validation du fichier CloudTrail journal est activée | [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4) |
| CIS v1.2.0 | 2.3 Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public | [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6) |
| CIS v1.2.0 | 2.4 Assurez-vous que les CloudTrail sentiers sont intégrés aux CloudWatch journaux | [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) |
| CIS v1.2.0 | 2.5 Vérifier que AWS Config c'est activé | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) |
| CIS v1.2.0 | 2.6 Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) |
| CIS v1.2.0 | 2.7 Assurez-vous que CloudTrail les journaux sont chiffrés au repos à l'aide de KMS CMKs | [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2) |
| CIS v1.2.0 | 2.8 Assurez-vous que la rotation pour les clients créés CMKs est activée | [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4) |
| CIS v1.2.0 | 2.9 Assurez-vous que la journalisation des flux VPC est activée dans tous VPCs | [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6) |
| CIS v1.2.0 | 3.1 Vérifier qu'il existe un filtre de métrique et une alarme de journaux pour les appels d'API non autorisés | [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2) |
| CIS v1.2.0 | 3.10 Vérifier qu'il existe un filtre de métrique et une alarme de journaux pour les modifications des groupes de sécurité | [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10) |
| CIS v1.2.0 | 3.11 Vérifier qu'il existe un filtre de métrique et une alarme de journaux pour les modifications des listes de contrôle d'accès réseau (ACL réseau) | [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11) |
| CIS v1.2.0 | 3.12 Vérifier qu'il existe un filtre de métrique et une alarme de journaux pour les modifications des passerelles réseau | [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12) |
| CIS v1.2.0 | 3.13 Vérifier qu'il existe un filtre de métrique et une alarme de journaux pour les modifications des tables de routage | [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13) |
| CIS v1.2.0 | 3.14 Vérifier qu'il existe un filtre de métrique et une alarme de journaux pour les modifications de VPC | [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14) |
| CIS v1.2.0 | 3.2 Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la connexion à la console de gestion sans MFA | [[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA](cloudwatch-controls.md#cloudwatch-3) |
| CIS v1.2.0 | 3.3 Vérifier l'existence d'un filtre de log métrique et d'une alarme pour l'utilisation par l'utilisateur root | [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1) |
| CIS v1.2.0 | 3.4 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications de politique IAM | [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4) |
| CIS v1.2.0 | 3.5 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications CloudTrail de configuration | [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5) |
| CIS v1.2.0 | 3.6 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme en cas AWS Management Console d'échec d'authentification | [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6) |
| CIS v1.2.0 | 3.7 Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des fichiers créés par le client CMKs | [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7) |
| CIS v1.2.0 | 3.8 Vérifier qu'il existe un filtre de métrique et une alarme de journaux pour les modifications de stratégies de compartiments S3 | [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8) |
| CIS v1.2.0 | 3.9 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications AWS Config de configuration | [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9) |
| CIS v1.2.0 | 4.1 Vérifier qu'aucun groupe de sécurité n'autorise le trafic entrant de 0.0.0.0/0 vers le port 22 | [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) |
| CIS v1.2.0 | 4.2 Vérifier qu'aucun groupe de sécurité n'autorise le trafic entrant de 0.0.0.0/0 au port 3389 | [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14) |
| CIS v1.2.0 | 4.3 Vérifier que le groupe de sécurité par défaut de chaque VPC restreint l'ensemble du trafic | [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) |
| CIS v1.4.0 | 1.10 Assurez-vous que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM disposant d'un mot de passe de console | [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5) |
| CIS v1.4.0 | 1.14 Assurez-vous que les clés d'accès sont renouvelées tous les 90 jours ou moins | [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3) |
| CIS v1.4.0 | 1.16 Assurez-vous que les politiques IAM qui autorisent des privilèges administratifs complets « \$1 : \$1 » ne sont pas jointes | [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) |
| CIS v1.4.0 | 1.17 Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support | [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18) |
| CIS v1.4.0 | 1.4 Assurez-vous qu'aucune clé d'accès au compte utilisateur root n'existe | [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) |
| CIS v1.4.0 | 1.5 Assurez-vous que le MFA est activé pour le compte utilisateur root | [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) |
| CIS v1.4.0 | 1.6 Assurez-vous que le MFA matériel est activé pour le compte utilisateur root | [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) |
| CIS v1.4.0 | 1.7 Éliminer l'utilisation de l'utilisateur root pour les tâches administratives et quotidiennes | [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1) |
| CIS v1.4.0 | 1.8 Assurez-vous que la politique de mot de passe IAM nécessite une longueur minimale de 14 ou plus | [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15) |
| CIS v1.4.0 | 1.9 Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe | [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16) |
| CIS v1.4.0 | 2.1.2 Assurez-vous que la politique de compartiment S3 est définie pour refuser les requêtes HTTP | [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5) |
| CIS v1.4.0 | 2.1.5.1 Le paramètre S3 Block Public Access doit être activé | [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1) |
| CIS v1.4.0 | 2.1.5.2 Le paramètre S3 Block Public Access doit être activé au niveau du bucket | [[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public](s3-controls.md#s3-8) |
| CIS v1.4.0 | 2.2.1 Assurez-vous que le chiffrement du volume EBS est activé | [[EC2.7] Le chiffrement par défaut EBS doit être activé](ec2-controls.md#ec2-7) |
| CIS v1.4.0 | 2.3.1 Assurez-vous que le chiffrement est activé pour les instances RDS | [[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS](rds-controls.md#rds-3) |
| CIS v1.4.0 | 3.1 Assurez-vous que CloudTrail c'est activé dans toutes les régions | [[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture](cloudtrail-controls.md#cloudtrail-1) |
| CIS v1.4.0 | 3.2 Assurez-vous que la validation du fichier CloudTrail journal est activée | [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4) |
| CIS v1.4.0 | 3.4 Assurez-vous que les CloudTrail sentiers sont intégrés aux CloudWatch journaux | [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) |
| CIS v1.4.0 | 3.5 Assurez-vous que l'option AWS Config est activée dans toutes les régions | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) |
| CIS v1.4.0 | 3.6 Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7) |
| CIS v1.4.0 | 3.7 Assurez-vous que CloudTrail les journaux sont chiffrés au repos à l'aide de KMS CMKs | [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2) |
| CIS v1.4.0 | 3.8 Assurez-vous que la rotation pour le client créé CMKs est activée | [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4) |
| CIS v1.4.0 | 3.9 Assurez-vous que la journalisation des flux VPC est activée dans tous VPCs | [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6) |
| CIS v1.4.0 | 4.4 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications de politique IAM | [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4) |
| CIS v1.4.0 | 4.5 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications CloudTrail de configuration | [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5) |
| CIS v1.4.0 | 4.6 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme en cas AWS Management Console d'échec de l'authentification | [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6) |
| CIS v1.4.0 | 4.7 Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des fichiers créés par le client CMKs | [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7) |
| CIS v1.4.0 | 4.8 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications de la politique du compartiment S3 | [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8) |
| CIS v1.4.0 | 4.9 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications AWS Config de configuration | [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9) |
| CIS v1.4.0 | 4.10 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications apportées au groupe de sécurité | [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10) |
| CIS v1.4.0 | 4.11 Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès au réseau (NACL) | [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11) |
| CIS v1.4.0 | 4.12 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications apportées aux passerelles réseau | [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12) |
| CIS v1.4.0 | 4.13 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications apportées à la table de routage | [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13) |
| CIS v1.4.0 | 4.14 Vérifier l'existence d'un journal, d'un filtre métrique et d'une alarme pour les modifications du VPC | [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14) |
| CIS v1.4.0 | 5.1 Assurez-vous qu'aucun réseau n' ACLs autorise l'entrée de 0.0.0.0/0 vers les ports d'administration du serveur distant | [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21) |
| CIS v1.4.0 | 5.3 Assurez-vous que le groupe de sécurité par défaut de chaque VPC limite l'ensemble du trafic | [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) |
| PCI DSS v3.2.1 | PCI. AutoScaling.1 Les groupes de mise à l'échelle automatique associés à un équilibreur de charge doivent utiliser des contrôles de santé de l'équilibreur de charge | [[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1) |
| PCI DSS v3.2.1 | PCI. CloudTrail.1 CloudTrail les journaux doivent être chiffrés au repos à l'aide de AWS KMS CMKs | [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2) |
| PCI DSS v3.2.1 | PCI. CloudTrail2.2 CloudTrail doit être activé | [[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3) |
| PCI DSS v3.2.1 | PCI. CloudTrail.3 La validation du fichier CloudTrail journal doit être activée | [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4) |
| PCI DSS v3.2.1 | PCI. CloudTrail.4 CloudTrail Les sentiers doivent être intégrés à Amazon CloudWatch Logs | [[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) |
| PCI DSS v3.2.1 | PCI. CodeBuild.1 CodeBuild GitHub ou le référentiel source Bitbucket URLs doit utiliser OAuth | [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1) |
| PCI DSS v3.2.1 | PCI. CodeBuild.2 Les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair | [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2) |
| PCI DSS v3.2.1 | PCI.Config.1 doit être activé AWS Config | [[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources](config-controls.md#config-1) |
| PCI DSS v3.2.1 | PCI.CW.1 Un filtre log métrique et une alarme doivent exister pour l'usage de l'utilisateur « root » | [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1) |
| PCI DSS v3.2.1 | Les instances de réplication du Service de migration de base de données PCI.DMS.1 ne doivent pas être publiques | [[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1) |
| PCI DSS v3.2.1 | Les instantanés EBS PCI.EC2.1 ne doivent pas être restaurables publiquement | [[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement](ec2-controls.md#ec2-1) |
| PCI DSS v3.2.1 | Le groupe de sécurité VPC par défaut PCI.EC2.2 doit interdire le trafic entrant et sortant | [[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant](ec2-controls.md#ec2-2) |
| PCI DSS v3.2.1 | PCI.EC2.4 L'EC2 non utilisé doit être retiré EIPs | [[EC2.12] L'Amazon EIPs EC2 non utilisé doit être supprimé](ec2-controls.md#ec2-12) |
| PCI DSS v3.2.1 | Les groupes de sécurité PCI.EC2.5 ne doivent pas autoriser l'entrée entre 0.0.0.0/0 et le port 22 | [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13) |
| PCI DSS v3.2.1 | La journalisation des flux VPC PCI.EC2.6 doit être activée dans tous les cas VPCs | [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6) |
| PCI DSS v3.2.1 | PCI. ELBv2.1 Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS | [[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS](elb-controls.md#elb-1) |
| PCI DSS v3.2.1 | PCI.ES.1 Les domaines Elasticsearch doivent se trouver dans un VPC | [[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2) |
| PCI DSS v3.2.1 | PCI.ES.2 Le chiffrement au repos doit être activé sur les domaines Elasticsearch | [[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch](es-controls.md#es-1) |
| PCI DSS v3.2.1 | PCI. GuardDuty.1 GuardDuty doit être activé | [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1) |
| PCI DSS v3.2.1 | La clé d'accès de l'utilisateur root IAM PCI.IAM.1 ne doit pas exister | [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4) |
| PCI DSS v3.2.1 | Les utilisateurs IAM de PCI.IAM.2 ne doivent pas être associés à des politiques IAM | [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2) |
| PCI DSS v3.2.1 | Les politiques IAM PCI.IAM.3 ne doivent pas autoriser des privilèges administratifs « \$1 » complets | [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1) |
| PCI DSS v3.2.1 | Le MFA matériel PCI.IAM.4 doit être activé pour l'utilisateur root | [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6) |
| PCI DSS v3.2.1 | Le MFA virtuel PCI.IAM.5 doit être activé pour l'utilisateur root | [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9) |
| PCI DSS v3.2.1 | Le MFA PCI.IAM.6 doit être activé pour tous les utilisateurs IAM | [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19) |
| PCI DSS v3.2.1 | PCI.IAM.7 Les informations d'identification de l'utilisateur IAM doivent être désactivées si elles ne sont pas utilisées dans un délai prédéfini | [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8) |
| PCI DSS v3.2.1 | Les politiques de mot de passe PCI.IAM.8 pour les utilisateurs IAM doivent être configurées de manière robuste | [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10) |
| PCI DSS v3.2.1 | PCI.KMS.1 La rotation de la clé principale du client (CMK) doit être activée | [La rotation des AWS KMS touches [KMS.4] doit être activée](kms-controls.md#kms-4) |
| PCI DSS v3.2.1 | PCI.Lambda.1 Les fonctions Lambda doivent interdire l'accès public | [[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1) |
| PCI DSS v3.2.1 | PCI.Lambda.2 Les fonctions Lambda doivent se trouver dans un VPC | [[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC](lambda-controls.md#lambda-3) |
| PCI DSS v3.2.1 | Les OpenSearch domaines PCI.OpenSearch.1 doivent se trouver dans un VPC | [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2) |
| PCI DSS v3.2.1 | Les instantanés EBS PCI.OpenSearch.2 ne doivent pas être restaurables publiquement | [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1) |
| PCI DSS v3.2.1 | L'instantané RDS PCI.RDS.1 doit être privé | [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1) |
| PCI DSS v3.2.1 | Les instances de base de données PCI.RDS.2 RDS doivent interdire l'accès public | [[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible](rds-controls.md#rds-2) |
| PCI DSS v3.2.1 | PCI.Redshift.1 Les clusters Amazon Redshift devraient interdire l'accès public | [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1) |
| PCI DSS v3.2.1 | Les compartiments S3 PCI.S3.1 devraient interdire l'accès public en écriture | [[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture](s3-controls.md#s3-3) |
| PCI DSS v3.2.1 | Les compartiments PCI.S3.2 S3 devraient interdire l'accès public en lecture | [[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture](s3-controls.md#s3-2) |
| PCI DSS v3.2.1 | La réplication entre régions doit être activée pour les compartiments S3 PCI.S3.3 | [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7) |
| PCI DSS v3.2.1 | Les compartiments S3 PCI.S3.5 doivent nécessiter des demandes pour utiliser le protocole Secure Socket Layer | [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5) |
| PCI DSS v3.2.1 | Le paramètre PCI.S3.6 S3 Block Public Access doit être activé | [[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés](s3-controls.md#s3-1) |
| PCI DSS v3.2.1 | PCI. SageMaker.1 Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet | [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1) |
| PCI DSS v3.2.1 | Les instances PCI.SSM.1 EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif | [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2) |
| PCI DSS v3.2.1 | Les instances PCI.SSM.2 EC2 gérées par Systems Manager doivent avoir le statut de conformité des associations COMPLIANT | [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3) |
| PCI DSS v3.2.1 | Les instances PCI.SSM.3 EC2 doivent être gérées par AWS Systems Manager | [[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1) |
## Mise à jour des workflows pour la consolidation
Si vos flux de travail ne reposent sur le format spécifique d'aucun champ dans les résultats de contrôle, aucune action n'est requise.
Si vos flux de travail reposent sur le format spécifique d'un ou de plusieurs champs dans les résultats des contrôles, comme indiqué dans les tableaux précédents, vous devez mettre à jour vos flux de travail. Par exemple, si vous avez créé une EventBridge règle Amazon qui déclenche une action pour un ID de contrôle spécifique, par exemple en invoquant une AWS Lambda fonction si l'ID de contrôle est égal à CIS 2.7, mettez à jour la règle pour utiliser CloudTrail .2, qui est la valeur du `Compliance.SecurityControlId` champ de ce contrôle.
Si vous avez créé [des informations personnalisées](securityhub-custom-insights.md) qui utilisent l'un des champs ou valeurs modifiés, mettez à jour ces informations pour utiliser les nouveaux champs ou valeurs.
# Attributs ASFF de haut niveau requis
Les attributs de haut niveau suivants dans le format ASFF ( AWS Security Finding Format) sont obligatoires pour tous les résultats dans Security Hub CSPM. Pour plus d'informations sur ces attributs, consultez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)le *AWS Security Hub API Reference*.
## AwsAccountId
L' Compte AWS identifiant auquel s'applique le résultat.
**Exemple**
```
"AwsAccountId": "111111111111"
```
## CreatedAt
Indique à quel moment le problème ou l'événement de sécurité potentiel détecté par une découverte a été créé.
**Exemple**
```
"CreatedAt": "2017-03-22T13:22:13.933Z"
```
## Description
Description de la conclusion. Ce champ peut contenir un texte réutilisable non spécifique ou des détails spécifiques à l'instance de la conclusion.
Pour les résultats de contrôle générés par Security Hub CSPM, ce champ fournit une description du contrôle.
Ce champ ne fait pas référence à une norme si vous activez les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings).
**Exemple**
```
"Description": "This AWS control checks whether AWS Config is enabled in the current account and Region."
```
## GeneratorId
Identifiant de la solution de composant spécifique (une unité de logique discrète) ayant généré une conclusion.
Pour les résultats de contrôle générés par Security Hub CSPM, ce champ ne fait pas référence à une norme si vous activez les résultats de [contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings).
**Exemple**
```
"GeneratorId": "security-control/Config.1"
```
## Id
Identifiant du produit pour une conclusion. Pour les résultats de contrôle générés par Security Hub CSPM, ce champ fournit l'Amazon Resource Name (ARN) du résultat.
Ce champ ne fait pas référence à une norme si vous activez les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings).
**Exemple**
```
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956"
```
## ProductArn
L'Amazon Resource Name (ARN) généré par Security Hub CSPM qui identifie de manière unique un produit tiers trouve un produit une fois le produit enregistré auprès de Security Hub CSPM.
Le format de ce champ est `arn:partition:securityhub:region:account-id:product/company-id/product-id`.
+ Pour Services AWS que cela soit intégré à Security Hub CSPM, le nom du service public `company-id` doit être `aws` « » et le `product-id` nom du service AWS public. Comme AWS les produits et services ne sont associés à aucun compte, la `account-id` section de l'ARN est vide. Services AWS qui ne sont pas encore intégrés à Security Hub CSPM sont considérés comme des produits tiers.
+ Pour les produits publics, `company-id` et `product-id` doivent être les valeurs d'ID spécifiées au moment de l'inscription.
+ Pour les produits privés, `company-id` doit être l'ID de compte. Le `product-id` doit être le mot réservé « par défaut » ou l'ID qui a été spécifié au moment de l'inscription.
**Exemple**
```
// Private ARN
"ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"
// Public ARN
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"
"ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"
```
## Ressources
Le `Resources` tableau d'objets fournit un ensemble de types de données de ressources qui décrivent les AWS ressources auxquelles le résultat fait référence. Pour en savoir plus sur les champs qu'un `Resources` objet peut contenir, y compris les champs obligatoires, consultez le document [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Resource.html)de *référence AWS de l'API Security Hub*. Pour des exemples d'`Resources`objets spécifiques Services AWS, voir[ResourcesObjet ASFF](asff-resources.md).
**Exemple**
```
"Resources": [
{
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0",
"ApplicationName": "SampleApp",
"DataClassification": {
"DetailedResultsLocation": "Path_to_Folder_Or_File",
"Result": {
"MimeType": "text/plain",
"SizeClassified": 2966026,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE",
"Reason": "Unsupportedfield"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 34,
"Type": "GE_PERSONAL_ID",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 10,
"StartColumn": 20
}
],
"Pages": [],
"Records": [],
"Cells": []
}
},
{
"Count": 59,
"Type": "EMAIL_ADDRESS",
"Occurrences": {
"Pages": [
{
"PageNumber": 1,
"OffsetRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
},
"LineRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
}
}
]
}
},
{
"Count": 2229,
"Type": "URL",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 13
}
]
}
},
{
"Count": 13826,
"Type": "NameDetection",
"Occurrences": {
"Records": [
{
"RecordIndex": 1,
"JsonPath": "$.ssn.value"
}
]
}
},
{
"Count": 32,
"Type": "AddressDetection"
}
],
"TotalCount": 32
}
],
"CustomDataIdentifiers": {
"Detections": [
{
"Arn": "1712be25e7c7f53c731fe464f1c869b8",
"Name": "1712be25e7c7f53c731fe464f1c869b8",
"Count": 2
}
],
"TotalCount": 2
}
}
},
"Type": "AwsEc2Instance",
"Id": "arn:aws:ec2:us-west-2:123456789012:instance/i-abcdef01234567890",
"Partition": "aws",
"Region": "us-west-2",
"ResourceRole": "Target",
"Tags": {
"billingCode": "Lotus-1-2-3",
"needsPatching": true
},
"Details": {
"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
"ImageId": "ami-79fd7eee",
"IpV4Addresses": ["1.1.1.1"],
"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
"KeyName": "testkey",
"LaunchedAt": "2018-09-29T01:25:54Z",
"MetadataOptions": {
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "enabled",
"HttpPutResponseHopLimit": 1,
"HttpTokens": "optional",
"InstanceMetadataTags": "disabled"
}
},
"NetworkInterfaces": [
{
"NetworkInterfaceId": "eni-e5aa89a3"
}
],
"SubnetId": "PublicSubnet",
"Type": "i3.xlarge",
"VirtualizationType": "hvm",
"VpcId": "TestVPCIpv6"
}
]
```
## SchemaVersion
La version de schéma pour laquelle une conclusion est mise en forme. La valeur de ce champ doit être l'une des versions publiées officiellement identifiée par AWS. Dans la version actuelle, la version du schéma AWS Security Finding Format est`2018-10-08`.
**Exemple**
```
"SchemaVersion": "2018-10-08"
```
## Sévérité
Définit l'importance d'une découverte. Pour plus de détails sur cet objet, reportez-vous [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Severity.html)à la *référence de l'AWS Security Hub API*.
`Severity`est à la fois un objet de premier niveau dans une recherche et imbriqué sous l'`FindingProviderFields`objet.
La valeur de l'`Severity`objet de niveau supérieur pour une recherche ne doit être mise à jour qu'à l'aide de l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API.
Pour fournir des informations de gravité, les fournisseurs de recherche doivent mettre à jour l'`Severity`objet sous `FindingProviderFields` lors de l'envoi d'une demande d'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)API.
Si une `BatchImportFindings` demande de nouvelle recherche fournit uniquement `Label` ou uniquement des informations`Normalized`, Security Hub CSPM renseigne automatiquement la valeur de l'autre champ. Les `Original` champs `Product` et peuvent également être remplis.
Si l'`Finding.Severity`objet de niveau supérieur est présent mais `Finding.FindingProviderFields` absent, Security Hub CSPM crée l'`FindingProviderFields.Severity`objet et y copie l'intégralité`Finding.Severity object`. Cela garantit que les informations d'origine fournies par le fournisseur sont conservées dans la `FindingProviderFields.Severity` structure, même si l'`Severity`objet de niveau supérieur est remplacé.
La gravité du résultat ne tient pas compte de la sévérité des actifs en cause ou de la ressource sous-jacente. La sévérité est définie comme le niveau d'importance des ressources associées au résultat Par exemple, une ressource associée à une application critique présente une criticité plus élevée qu'une ressource associée à des tests hors production. Pour saisir des informations sur la sévérité des ressources, utilisez le champ `Criticality`.
Nous vous recommandons d'utiliser les conseils suivants pour traduire les scores de gravité natifs des résultats en valeur de `Severity.Label` dans l'ASFF.
+ `INFORMATIONAL`— Cette catégorie peut inclure une recherche concernant une `PASSED``WARNING`, une `NOT AVAILABLE` vérification ou une identification de données sensibles.
+ `LOW`— Des résultats susceptibles d'entraîner de futurs compromis. Par exemple, cette catégorie peut inclure des vulnérabilités, des faiblesses de configuration et des mots de passe exposés.
+ `MEDIUM`— Des résultats qui indiquent un compromis actif, mais rien n'indique qu'un adversaire ait atteint ses objectifs. Par exemple, cette catégorie peut inclure les activités malveillantes, les activités de piratage et la détection de comportements inhabituels.
+ `HIGH`ou `CRITICAL` — Des résultats indiquant qu'un adversaire a atteint ses objectifs, tels qu'une perte active ou une compromission de données ou un déni de service.
**Exemple**
```
"Severity": {
"Label": "CRITICAL",
"Normalized": 90,
"Original": "CRITICAL"
}
```
## Titre
Titre de la conclusion. Ce champ peut contenir un texte réutilisable non spécifique ou des détails spécifiques à cette instance de la conclusion.
Pour les résultats du contrôle, ce champ fournit le titre du contrôle. Ce champ ne fait pas référence à une norme si vous activez les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings).
**Exemple**
```
"Title": "AWS Config should be enabled"
```
## Types
Un ou plusieurs types de résultats au format `namespace/category/classifier` qui classent un résultat. Ce champ ne fait pas référence à une norme si vous activez les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings).
`Types`doit être mis à jour uniquement à l'aide de l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API.
La recherche de fournisseurs qui souhaitent fournir une valeur pour `Types` doit utiliser l'`Types`attribut ci-dessous [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_FindingProviderFields.html).
Dans la liste suivante, les puces de premier niveau sont des espaces de noms, les puces de deuxième niveau sont des catégories et les puces de troisième niveau sont des classificateurs. Nous recommandons aux fournisseurs de recherche d'utiliser des espaces de noms définis pour faciliter le tri et le regroupement des résultats. Les catégories et classificateurs définis peuvent également être utilisés, mais ne sont pas obligatoires. Seul l'espace de noms Vérifications de logiciels et de configuration contient des classificateurs définis.
Vous pouvez définir un chemin partiel pournamespace/category/classifier. Par exemple, les types de recherche suivants sont tous valides :
+ TTPs
+ TTPs/Évasion défensive
+ TTPs/Defense Evasion/CloudTrailStopped
Les catégories de tactiques, techniques et procédures (TTPs) de la liste suivante correspondent à la MatrixTM [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/). L'espace de noms Unusual Behaviors reflète les comportements inhabituels généraux, tels que les anomalies statistiques générales, et n'est pas aligné sur un TTP spécifique. Toutefois, vous pouvez classer un résultat en utilisant à la fois des comportements inhabituels et des types de TTPs résultats.
**Liste des espaces de noms, des catégories et des classificateurs :**
+ Vérifications de logiciels et de configuration
+ Vulnérabilités
+ CVE
+ AWS Bonnes pratiques en matière de sécurité
+ Joignabilité de réseau
+ Analyse du comportement d'exécution
+ Secteur d'activité et normes réglementaires
+ AWS Bonnes pratiques de sécurité fondamentales
+ CIS Host Hardening Benchmarks
+ Indice de référence AWS des fondations du CIS
+ PCI-DSS
+ Contrôles de la Cloud Security Alliance
+ Contrôles ISO 90001
+ Contrôles ISO 27001
+ Contrôles ISO 27017
+ Contrôles ISO 27018
+ SOC 1
+ SOC 2
+ Contrôles HIPAA (États-Unis)
+ Contrôles NIST 800-53 (États-Unis)
+ Contrôles NIST PPC (États-Unis)
+ Contrôles IRAP (Australie)
+ Contrôles K-ISMS (Corée)
+ Contrôles MTCS (Singapour)
+ Contrôles FISC (Japon)
+ Contrôles de la loi My Number Act (Japon)
+ Contrôles ENS (Espagne)
+ Contrôles Cyber Essentials Plus (Royaume-Uni)
+ Contrôles G-Cloud (Royaume-Uni)
+ Contrôles C5 (Allemagne)
+ Contrôles IT-Grundschutz (Allemagne)
+ Contrôles PIBR (Europe)
+ Contrôles TISAX (Europe)
+ Gestion des correctifs
+ TTPs
+ Accès initial
+ Exécution
+ Persistance
+ Escalade de privilèges
+ Évasion de défense
+ Accès via les informations d'identification
+ Découverte
+ Mouvement latéral
+ Collection
+ Commande et contrôle
+ Effets
+ Exposition de données
+ Exfiltration de données
+ Destruction des données
+ Protection contre les attaques par déni de service
+ Consommation des ressources
+ Comportements inhabituels
+ Application
+ Débit réseau
+ Adresse IP
+ Utilisateur
+ MV
+ Conteneur
+ sans serveur
+ Processus
+ Base de données
+ Données
+ Définition des données sensibles
+ PII
+ Mots de passe
+ Juridique
+ Services financiers
+ Sécurité
+ Entreprise
**Exemple**
```
"Types": [
"Software and Configuration Checks/Vulnerabilities/CVE"
]
```
## UpdatedAt
Indique la date à laquelle le fournisseur de recherche a mis à jour l'enregistrement de recherche pour la dernière fois.
Cet horodatage indique l'heure à laquelle l'enregistrement des résultats a été mis à jour pour la dernière fois ou le plus récemment. Par conséquent, il peut être différent de l'`LastObservedAt`horodatage, qui indique la date à laquelle l'événement ou la vulnérabilité a été observé pour la dernière fois ou le plus récemment.
Lorsque vous mettez à jour l'enregistrement de la conclusion, vous devez mettre à jour cet horodatage avec l'horodatage actuel. Lors de la création d'un enregistrement de recherche, les `UpdatedAt` horodatages `CreatedAt` et doivent être identiques. Après une mise à jour de l'enregistrement des résultats, la valeur de ce champ doit être plus récente que toutes les valeurs précédentes qu'il contenait.
Notez qu'il `UpdatedAt` n'est pas possible de le mettre à jour à l'aide de cette [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)opération. Vous ne pouvez le mettre à jour qu'en utilisant l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)opération.
**Exemple**
```
"UpdatedAt": "2017-04-22T13:22:13.933Z"
```
# Attributs ASFF de haut niveau facultatifs
Les attributs de haut niveau suivants dans le format ASFF ( AWS Security Finding Format) sont facultatifs pour les résultats dans Security Hub CSPM. Pour plus d'informations sur ces attributs, consultez [AwsSecurityFinding](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html)le *AWS Security Hub API Reference*.
## Action
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html)objet fournit des détails sur une action qui affecte ou a été entreprise sur une ressource.
**Exemple**
```
"Action": {
"ActionType": "PORT_PROBE",
"PortProbeAction": {
"PortProbeDetails": [
{
"LocalPortDetails": {
"Port": 80,
"PortName": "HTTP"
},
"LocalIpDetails": {
"IpAddressV4": "192.0.2.0"
},
"RemoteIpDetails": {
"Country": {
"CountryName": "Example Country"
},
"City": {
"CityName": "Example City"
},
"GeoLocation": {
"Lon": 0,
"Lat": 0
},
"Organization": {
"AsnOrg": "ExampleASO",
"Org": "ExampleOrg",
"Isp": "ExampleISP",
"Asn": 64496
}
}
}
],
"Blocked": false
}
}
```
## AwsAccountName
Compte AWS Nom auquel s'applique le résultat.
**Exemple**
```
"AwsAccountName": "jane-doe-testaccount"
```
## CompanyName
Nom de l'entreprise pour le produit à l'origine de la découverte. Pour les résultats basés sur le contrôle, l'entreprise l'est AWS.
Security Hub CSPM renseigne automatiquement cet attribut pour chaque résultat. Vous ne pouvez pas le mettre à jour à l'aide de [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)ou [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). L'exception à cette règle est lorsque vous utilisez une intégration personnalisée. Consultez [Intégration de Security Hub CSPM à des produits personnalisés](securityhub-custom-providers.md).
Lorsque vous utilisez la console Security Hub CSPM pour filtrer les résultats par nom de société, vous utilisez cet attribut. Lorsque vous utilisez l'API Security Hub CSPM pour filtrer les résultats par nom de société, vous utilisez l'`aws/securityhub/CompanyName`attribut ci-dessous. `ProductFields` Security Hub CSPM ne synchronise pas ces deux attributs.
**Exemple**
```
"CompanyName": "AWS"
```
## Conformité d’
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Compliance.html)objet fournit généralement des détails sur une constatation de contrôle, tels que les normes applicables et l'état de la vérification de contrôle.
**Exemple**
```
"Compliance": {
"AssociatedStandards": [
{"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
{"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"},
{"StandardsId": "standards/nist-800-53/v/5.0.0"}
],
"RelatedRequirements": [
"NIST.800-53.r5 AC-4",
"NIST.800-53.r5 AC-4(21)",
"NIST.800-53.r5 SC-7",
"NIST.800-53.r5 SC-7(11)",
"NIST.800-53.r5 SC-7(16)",
"NIST.800-53.r5 SC-7(21)",
"NIST.800-53.r5 SC-7(4)",
"NIST.800-53.r5 SC-7(5)"
],
"SecurityControlId": "EC2.18",
"SecurityControlParameters":[
{
"Name": "authorizedTcpPorts",
"Value": ["80", "443"]
},
{
"Name": "authorizedUdpPorts",
"Value": ["427"]
}
],
"Status": "NOT_AVAILABLE",
"StatusReasons": [
{
"ReasonCode": "CONFIG_RETURNS_NOT_APPLICABLE",
"Description": "This finding has a compliance status of NOT AVAILABLE because AWS Config sent Security Hub CSPM a finding with a compliance state of Not Applicable. The potential reasons for a Not Applicable finding from Config are that (1) a resource has been moved out of scope of the Config rule; (2) the Config rule has been deleted; (3) the resource has been deleted; or (4) the logic of the Config rule itself includes scenarios where Not Applicable is returned. The specific reason why Not Applicable is returned is not available in the Config rule evaluation."
}
]
}
```
## Fiabilité
Probabilité qu'un résultat identifie avec précision le comportement ou le problème qu'il était censé identifier.
`Confidence`ne doit être mis à jour qu'à l'aide de [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
La recherche de fournisseurs qui souhaitent fournir une valeur pour `Confidence` doit utiliser l'`Confidence`attribut ci-dessous`FindingProviderFields`. Consultez [Mettre à jour les résultats avec FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).
`Confidence`est noté sur une base de 0 à 100 à l'aide d'une échelle de ratio. 0 signifie 0 % de confiance et 100 signifie 100 % de confiance. Par exemple, une détection d'exfiltration de données basée sur un écart statistique du trafic réseau est peu fiable car une exfiltration réelle n'a pas été vérifiée.
**Exemple**
```
"Confidence": 42
```
## Criticité
Le niveau d'importance attribué aux ressources associées à une constatation.
`Criticality`ne doit être mis à jour qu'en appelant l'opération [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API. Ne mettez pas à jour cet objet avec [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).
La recherche de fournisseurs qui souhaitent fournir une valeur pour `Criticality` doit utiliser l'`Criticality`attribut ci-dessous`FindingProviderFields`. Consultez [Mettre à jour les résultats avec FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields).
`Criticality`est noté sur une base de 0 à 100, en utilisant une échelle de ratio qui ne prend en charge que les entiers complets. Un score de 0 signifie que les ressources sous-jacentes ne sont pas critiques, et un score de 100 est réservé aux ressources les plus critiques.
Pour chaque ressource, tenez compte des points suivants lors de l'attribution `Criticality` :
+ La ressource affectée contient-elle des données sensibles (par exemple, un compartiment S3 contenant des informations personnelles) ?
+ La ressource affectée permet-elle à un adversaire d'approfondir son accès ou d'étendre ses capacités pour mener des activités malveillantes supplémentaires (par exemple, un compte d'administrateur système compromis) ?
+ La ressource est-elle stratégique (par exemple, un système d'entreprise clé compromis pourrait avoir un impact important sur les revenus) ?
Utilisez les directives suivantes :
+ Une ressource alimentant des systèmes critiques ou contenant des données très sensibles peut être notée entre 75 et 100.
+ Une ressource alimentant des systèmes importants (mais pas critiques) ou contenant des données modérément importantes peut être notée entre 25 et 74.
+ Une ressource alimentant des systèmes sans importance ou contenant des données non sensibles doit être notée entre 0 et 24.
**Exemple**
```
"Criticality": 99
```
## Détection
L'`Detection`objet fournit des informations sur la détection d'une séquence d'attaque par Amazon GuardDuty Extended Threat Detection. GuardDuty génère une détection de séquence d'attaque lorsque plusieurs événements correspondent à une activité potentiellement suspecte. Pour recevoir les résultats des séquences d' GuardDuty attaque dans AWS Security Hub CSPM, vous devez l'avoir GuardDuty activé dans votre compte. Pour plus d'informations, consultez [Amazon GuardDuty Extended Threat Detection](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html) dans le *guide de GuardDuty l'utilisateur Amazon*.
**Exemple**
```
"Detection": {
"Sequence": {
"Uid": "1111111111111-184ec3b9-cf8d-452d-9aad-f5bdb7afb010",
"Actors": [{
"Id": "USER:AROA987654321EXAMPLE:i-b188560f:1234567891",
"Session": {
"Uid": "1234567891",
"MfAStatus": "DISABLED",
"CreatedTime": "1716916944000",
"Issuer": "arn:aws:s3:::amzn-s3-demo-destination-bucket"
},
"User": {
"CredentialUid": "ASIAIOSFODNN7EXAMPLE",
"Name": "ec2_instance_role_production",
"Type": "AssumedRole",
"Uid": "AROA987654321EXAMPLE:i-b188560f",
"Account": {
"Uid": "AccountId",
"Name": "AccountName"
}
}
}],
"Endpoints": [{
"Id": "EndpointId",
"Ip": "203.0.113.1",
"Domain": "example.com",
"Port": 4040,
"Location": {
"City": "New York",
"Country": "US",
"Lat": 40.7123,
"Lon": -74.0068
},
"AutonomousSystem": {
"Name": "AnyCompany",
"Number": 64496
},
"Connection": {
"Direction": "INBOUND"
}
}],
"Signals": [{
"Id": "arn:aws:guardduty:us-east-1:123456789012:detector/d0bfe135ab8b4dd8c3eaae7df9900073/finding/535a382b1bcc44d6b219517a29058fb7",
"Title": "Someone ran a penetration test tool on your account.",
"ActorIds": ["USER:AROA987654321EXAMPLE:i-b188560f:1234567891"],
"Count": 19,
"FirstSeenAt": 1716916943000,
"SignalIndicators": [
{
"Key": "ATTACK_TACTIC",
"Title": "Attack Tactic",
"Values": [
"Impact"
]
},
{
"Key": "HIGH_RISK_API",
"Title": "High Risk Api",
"Values": [
"s3:DeleteObject"
]
},
{
"Key": "ATTACK_TECHNIQUE",
"Title": "Attack Technique",
"Values": [
"Data Destruction"
]
},
],
"LastSeenAt": 1716916944000,
"Name": "Test:IAMUser/KaliLinux",
"ResourceIds": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket"
],
"Type": "FINDING"
}],
"SequenceIndicators": [
{
"Key": "ATTACK_TACTIC",
"Title": "Attack Tactic",
"Values": [
"Discovery",
"Exfiltration",
"Impact"
]
},
{
"Key": "HIGH_RISK_API",
"Title": "High Risk Api",
"Values": [
"s3:DeleteObject",
"s3:GetObject",
"s3:ListBuckets"
"s3:ListObjects"
]
},
{
"Key": "ATTACK_TECHNIQUE",
"Title": "Attack Technique",
"Values": [
"Cloud Service Discovery",
"Data Destruction"
]
}
]
}
}
```
## FindingProviderFields
`FindingProviderFields`inclut les attributs suivants :
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`
Les champs précédents sont imbriqués sous l'`FindingProviderFields`objet, mais ont des analogues portant le même nom que les champs ASFF de niveau supérieur. Lorsqu'un nouveau résultat est envoyé à Security Hub CSPM par un fournisseur de recherche, Security Hub CSPM remplit automatiquement l'`FindingProviderFields`objet s'il est vide en fonction des champs de niveau supérieur correspondants.
La recherche de fournisseurs peut être mise à jour en `FindingProviderFields` utilisant le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)fonctionnement de l'API Security Hub CSPM. La recherche de fournisseurs ne permet pas de mettre à jour cet objet avec [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
Pour plus de détails sur la façon dont Security Hub CSPM gère les mises à jour depuis `FindingProviderFields` et `BatchImportFindings` vers les attributs de haut niveau correspondants, consultez. [Mettre à jour les résultats avec FindingProviderFields](finding-update-batchimportfindings.md#batchimportfindings-findingproviderfields)
Les clients peuvent mettre à jour les champs de niveau supérieur à l'aide de cette `BatchUpdateFindings` opération. Les clients ne peuvent pas effectuer de mise à jour`FindingProviderFields`.
**Exemple**
```
"FindingProviderFields": {
"Confidence": 42,
"Criticality": 99,
"RelatedFindings":[
{
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "123e4567-e89b-12d3-a456-426655440000"
}
],
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```
## FirstObservedAt
Indique à quel moment le problème ou l'événement de sécurité potentiel détecté par une découverte a été observé pour la première fois.
Cet horodatage indique le moment où l'événement ou la vulnérabilité a été observé pour la première fois. Par conséquent, il peut être différent de l'`CreatedAt`horodatage, qui indique le moment où cet enregistrement de recherche a été créé.
Pour les résultats de contrôle générés et mis à jour par Security Hub CSPM, cet horodatage peut également indiquer à quel moment le statut de conformité d'une ressource a été modifié pour la dernière fois. Pour les autres types de résultats, cet horodatage doit être immuable entre les mises à jour de l'enregistrement des résultats, mais il peut être mis à jour si un horodatage plus précis est déterminé.
**Exemple**
```
"FirstObservedAt": "2017-03-22T13:22:13.933Z"
```
## LastObservedAt
Indique à quel moment le problème ou l'événement de sécurité potentiel détecté par une découverte a été observé pour la dernière fois par le produit de résultats de sécurité.
Cet horodatage indique la date à laquelle l'événement ou la vulnérabilité a été observé pour la dernière fois ou le plus récemment. Par conséquent, il peut être différent de l'`UpdatedAt`horodatage, qui indique la date à laquelle cet enregistrement de résultats a été mis à jour pour la dernière fois ou le plus récemment.
Vous pouvez fournir cet horodatage, mais il n'est pas obligatoire lors de la première observation. Si vous renseignez ce champ lors de la première observation, l'horodatage doit être le même que l'horodatage. `FirstObservedAt` Vous devez mettre à jour ce champ pour refléter la dernière fois ou la fois la plus récente où l'horodatage a été observé chaque fois qu'une conclusion est observée.
**Exemple**
```
"LastObservedAt": "2017-03-23T13:22:13.933Z"
```
## Malware
L'objet [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) fournit une liste de logiciels malveillants liés à un résultat.
**Exemple**
```
"Malware": [
{
"Name": "Stringler",
"Type": "COIN_MINER",
"Path": "/usr/sbin/stringler",
"State": "OBSERVED"
}
]
```
## Réseau (retraité)
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Network.html)objet fournit des informations relatives au réseau concernant une découverte.
Cet objet est retiré. Pour fournir ces données, vous pouvez soit mapper les données à une ressource dans`Resources`, soit utiliser l'`Action`objet.
**Exemple**
```
"Network": {
"Direction": "IN",
"OpenPortRange": {
"Begin": 443,
"End": 443
},
"Protocol": "TCP",
"SourceIpV4": "1.2.3.4",
"SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
"SourcePort": "42",
"SourceDomain": "example1.com",
"SourceMac": "00:0d:83:b1:c0:8e",
"DestinationIpV4": "2.3.4.5",
"DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C",
"DestinationPort": "80",
"DestinationDomain": "example2.com"
}
```
## NetworkPath
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_NetworkPathComponent.html)objet fournit des informations sur un chemin réseau associé à une découverte. Chaque entrée dans `NetworkPath` représente un composant du chemin.
**Exemple**
```
"NetworkPath" : [
{
"ComponentId": "abc-01a234bc56d8901ee",
"ComponentType": "AWS::EC2::InternetGateway",
"Egress": {
"Destination": {
"Address": [ "192.0.2.0/24" ],
"PortRanges": [
{
"Begin": 443,
"End": 443
}
]
},
"Protocol": "TCP",
"Source": {
"Address": ["203.0.113.0/24"]
}
},
"Ingress": {
"Destination": {
"Address": [ "198.51.100.0/24" ],
"PortRanges": [
{
"Begin": 443,
"End": 443
}
]
},
"Protocol": "TCP",
"Source": {
"Address": [ "203.0.113.0/24" ]
}
}
}
]
```
## Remarque
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Note.html)objet spécifie une note définie par l'utilisateur que vous pouvez ajouter à une constatation.
Un fournisseur de conclusion peut fournir une note initiale pour une conclusion, mais ne peut pas ajouter de notes ensuite. Vous ne pouvez mettre à jour une note qu'en utilisant [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
**Exemple**
```
"Note": {
"Text": "Don't forget to check under the mat.",
"UpdatedBy": "jsmith",
"UpdatedAt": "2018-08-31T00:15:09Z"
}
```
## PatchSummary
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_PatchSummary.html)objet fournit un résumé de l'état de conformité des correctifs pour une instance par rapport à une norme de conformité sélectionnée.
**Exemple**
```
"PatchSummary" : {
"FailedCount" : 0,
"Id" : "pb-123456789098",
"InstalledCount" : 100,
"InstalledOtherCount" : 1023,
"InstalledPendingReboot" : 0,
"InstalledRejectedCount" : 0,
"MissingCount" : 100,
"Operation" : "Install",
"OperationEndTime" : "2018-09-27T23:39:31Z",
"OperationStartTime" : "2018-09-27T23:37:31Z",
"RebootOption" : "RebootIfNeeded"
}
```
## Processus
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ProcessDetails.html)objet fournit des informations relatives au processus concernant une découverte.
Exemple :
```
"Process": {
"LaunchedAt": "2018-09-27T22:37:31Z",
"Name": "syslogd",
"ParentPid": 56789,
"Path": "/usr/sbin/syslogd",
"Pid": 12345,
"TerminatedAt": "2018-09-27T23:37:31Z"
}
```
## ProcessedAt
Indique à quel moment Security Hub CSPM a reçu un résultat et a commencé à le traiter.
Cela diffère de `CreatedAt` et `UpdatedAt` qui sont des horodatages obligatoires liés à l'interaction du fournisseur de recherche avec le problème de sécurité et le résultat. L'`ProcessedAt`horodatage indique le moment où Security Hub CSPM commence à traiter une recherche. Une recherche apparaît dans le compte d'un utilisateur une fois le traitement terminé.
```
"ProcessedAt": "2023-03-23T13:22:13.933Z"
```
## ProductFields
Type de données dans lequel les produits de résultats de sécurité peuvent inclure des informations supplémentaires spécifiques à la solution qui ne font pas partie du format de résultats de AWS sécurité défini.
Pour les résultats générés par les contrôles Security Hub CSPM, `ProductFields` inclut des informations sur le contrôle. Consultez [Génération et mise à jour des résultats de contrôle](controls-findings-create-update.md).
Ce champ ne doit pas contenir de données redondantes et ne doit pas contenir de données en conflit avec les champs du format AWS de recherche de sécurité.
Le préfixe `aws/` « » représente un espace de noms réservé aux AWS produits et services uniquement et ne doit pas être soumis avec les résultats d'intégrations tierces.
Bien que cela ne soit pas obligatoire, les produits doivent formater les noms de champs en tant que `company-id/product-id/field-name`, avec `company-id` et `product-id` qui correspondent à ceux fournis dans le `ProductArn` de la conclusion.
Les champs de référence `Archival` sont utilisés lorsque Security Hub CSPM archive une découverte existante. Par exemple, Security Hub CSPM archive les résultats existants lorsque vous désactivez un contrôle ou une norme et lorsque vous activez ou désactivez les [résultats de contrôle consolidés](controls-findings-create-update.md#consolidated-control-findings).
Ce champ peut également inclure des informations sur la norme qui inclut le contrôle qui a produit le résultat.
**Exemple**
```
"ProductFields": {
"API", "DeleteTrail",
"ArchivalReasons:0/Description": "The finding is in an ARCHIVED state because consolidated control findings has been turned on or off. This causes findings in the previous state to be archived when new findings are being generated.",
"ArchivalReasons:0/ReasonCode": "CONSOLIDATED_CONTROL_FINDINGS_UPDATE",
"aws/inspector/AssessmentTargetName": "My prod env",
"aws/inspector/AssessmentTemplateName": "My daily CVE assessment",
"aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures",
"generico/secure-pro/Action.Type", "AWS_API_CALL",
"generico/secure-pro/Count": "6",
"Service_Name": "cloudtrail.amazonaws.com"
}
```
## ProductName
Fournit le nom du produit qui a généré le résultat. Pour les résultats basés sur le contrôle, le nom du produit est Security Hub CSPM.
Security Hub CSPM renseigne automatiquement cet attribut pour chaque résultat. Vous ne pouvez pas le mettre à jour à l'aide de [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)ou [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). L'exception à cette règle est lorsque vous utilisez une intégration personnalisée. Consultez [Intégration de Security Hub CSPM à des produits personnalisés](securityhub-custom-providers.md).
Lorsque vous utilisez la console Security Hub CSPM pour filtrer les résultats par nom de produit, vous utilisez cet attribut.
Lorsque vous utilisez l'API Security Hub CSPM pour filtrer les résultats par nom de produit, vous utilisez l'`aws/securityhub/ProductName`attribut ci-dessous. `ProductFields`
Security Hub CSPM ne synchronise pas ces deux attributs.
## RecordState
Indique l'état d'enregistrement d'un résultat.
Par défaut, les résultats qui ont été initialement générées par un service sont considérés comme `ACTIVE`.
L'état `ARCHIVED` indique qu'une conclusion doit être masquée. Les résultats archivés ne sont pas supprimés immédiatement. Vous pouvez les rechercher, les examiner et créer des rapports à leur sujet. Security Hub CSPM archive automatiquement les résultats basés sur le contrôle si la ressource associée est supprimée, si la ressource n'existe pas ou si le contrôle est désactivé.
`RecordState`est destiné à rechercher des fournisseurs et ne peut être mis à jour qu'à l'aide de l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)opération. Vous ne pouvez pas le mettre à jour à l'aide de [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)cette opération.
Pour suivre l'état d'avancement de votre enquête sur un résultat, utilisez [`Workflow`](#asff-workflow)plutôt que`RecordState`.
Si l'état de l'enregistrement passe de `ARCHIVED` à `ACTIVE` et que le statut du flux de travail du résultat est `NOTIFIED` ou`RESOLVED`, Security Hub CSPM change automatiquement le statut du flux de travail en. `NEW`
**Exemple**
```
"RecordState": "ACTIVE"
```
## Région
Spécifie la Région AWS source à partir de laquelle le résultat a été généré.
Security Hub CSPM renseigne automatiquement cet attribut pour chaque résultat. Vous ne pouvez pas le mettre à jour à l'aide de [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)ou [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
**Exemple**
```
"Region": "us-west-2"
```
## RelatedFindings
Fournit une liste des résultats liés au résultat actuel.
`RelatedFindings`ne doit être mis à jour qu'avec l'opération [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)API. Vous ne devez pas mettre à jour cet objet avec [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html).
Pour les [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)demandes, la recherche de fournisseurs doit utiliser l'`RelatedFindings`objet ci-dessous [`FindingProviderFields`](#asff-findingproviderfields).
Pour consulter les descriptions des `RelatedFindings` attributs, reportez-vous [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_RelatedFinding.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"RelatedFindings": [
{ "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "123e4567-e89b-12d3-a456-426655440000" },
{ "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "AcmeNerfHerder-111111111111-x189dx7824" }
]
```
## RiskAssessment
**Exemple**
```
"RiskAssessment": {
"Posture": {
"FindingTotal": 4,
"Indicators": [
{
"Type": "Reachability",
"Findings": [
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/1234567890abcdef0",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
},
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/abcdef01234567890",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
}
]
},
{
"Type": "Vulnerability",
"Findings": [
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345abcdef6789",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
},
{
"Id": "arn:aws:inspector2:us-east-2:123456789012:finding/021345ghijkl6789",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
"Title": "Finding title"
}
]
}
]
}
}
```
## Correction
L'objet [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Remediation.html) fournit des informations sur les étapes de correction recommandées pour résoudre le résultat.
**Exemple**
```
"Remediation": {
"Recommendation": {
"Text": "For instructions on how to fix this issue, see the AWS Security Hub CSPM documentation for EC2.2.",
"Url": "https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation"
}
}
```
## Exemple
Spécifie si le résultat est un exemple de résultat.
```
"Sample": true
```
## SourceUrl
L'`SourceUrl`objet fournit une URL qui renvoie à une page concernant la recherche actuelle dans le produit de recherche.
```
"SourceUrl": "http://sourceurl.com"
```
## ThreatIntelIndicators
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ThreatIntelIndicator.html)objet fournit des informations détaillées sur les menaces associées à une découverte.
**Exemple**
```
"ThreatIntelIndicators": [
{
"Category": "BACKDOOR",
"LastObservedAt": "2018-09-27T23:37:31Z",
"Source": "Threat Intel Weekly",
"SourceUrl": "http://threatintelweekly.org/backdoors/8888",
"Type": "IPV4_ADDRESS",
"Value": "8.8.8.8",
}
]
```
## Menaces
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Threat.html)objet fournit des détails sur la menace détectée par une découverte.
**Exemple**
```
"Threats": [{
"FilePaths": [{
"FileName": "b.txt",
"FilePath": "/tmp/b.txt",
"Hash": "sha256",
"ResourceId": "arn:aws:ec2:us-west-2:123456789012:volume/vol-032f3bdd89aee112f"
}],
"ItemCount": 3,
"Name": "Iot.linux.mirai.vwisi",
"Severity": "HIGH"
}]
```
## UserDefinedFields
Fournit une liste des paires de chaînes nom-valeur associées à la recherche. Ce sont des champs définis par l'utilisateur personnalisés qui sont ajoutés à une conclusion. Ces champs peuvent être générés automatiquement par le biais de votre configuration spécifique.
La recherche de fournisseurs ne doit pas utiliser ce champ pour les données générées par le produit. Les fournisseurs de recherche peuvent plutôt utiliser le `ProductFields` champ pour les données qui ne correspondent à aucun champ standard du format AWS de recherche de sécurité.
Ces champs peuvent uniquement être mis à jour à l'aide de [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
**Exemple**
```
"UserDefinedFields": {
"reviewedByCio": "true",
"comeBackToLater": "Check this again on Monday"
}
```
## VerificationState
Fournit la véracité d'une constatation. Les produits Findings peuvent fournir une valeur de `UNKNOWN` pour ce champ. Un produit de résultats doit fournir une valeur pour ce champ s'il existe un analogue significatif dans le système du produit de résultats. Ce champ est généralement rempli par une détermination ou une action de l'utilisateur après avoir examiné un résultat.
Un fournisseur de conclusions peut fournir une valeur initiale pour cet attribut, mais ne peut plus le mettre à jour ensuite. Vous ne pouvez mettre à jour cet attribut qu'en utilisant [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html).
```
"VerificationState": "Confirmed"
```
## Vulnérabilités
L'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html)objet fournit une liste de vulnérabilités associées à une découverte.
**Exemple**
```
"Vulnerabilities" : [
{
"CodeVulnerabilities": [{
"Cwes": [
"CWE-798",
"CWE-799"
],
"FilePath": {
"EndLine": 421,
"FileName": "package-lock.json",
"FilePath": "package-lock.json",
"StartLine": 420
},
"SourceArn":"arn:aws:lambda:us-east-1:123456789012:layer:AWS-AppConfig-Extension:114"
}],
"Cvss": [
{
"BaseScore": 4.7,
"BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N",
"Version": "V3"
},
{
"BaseScore": 4.7,
"BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N",
"Version": "V2"
}
],
"EpssScore": 0.015,
"ExploitAvailable": "YES",
"FixAvailable": "YES",
"Id": "CVE-2020-12345",
"LastKnownExploitAt": "2020-01-16T00:01:35Z",
"ReferenceUrls":[
"http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418",
"http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563"
],
"RelatedVulnerabilities": ["CVE-2020-12345"],
"Vendor": {
"Name": "Alas",
"Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html",
"VendorCreatedAt":"2020-01-16T00:01:43Z",
"VendorSeverity":"Medium",
"VendorUpdatedAt":"2020-01-16T00:01:43Z"
},
"VulnerablePackages": [
{
"Architecture": "x86_64",
"Epoch": "1",
"FilePath": "/tmp",
"FixedInVersion": "0.14.0",
"Name": "openssl",
"PackageManager": "OS",
"Release": "16.amzn2.0.3",
"Remediation": "Update aws-crt to 0.14.0",
"SourceLayerArn": "arn:aws:lambda:us-west-2:123456789012:layer:id",
"SourceLayerHash": "sha256:c1962c35b63a6ff6ce7df6e042ee82371a605ca9515569edec46ff14f926f001",
"Version": "1.0.2k"
}
]
}
]
```
## Flux de travail
L'objet [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html) fournit des informations sur l'état de l'enquête dans un résultat.
Ce champ est destiné à être utilisé par les clients avec des outils de correction, d'orchestration et de billetterie. Il n'est pas destiné à identifier les fournisseurs.
Vous ne pouvez mettre à jour le `Workflow` champ qu'avec [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Les clients peuvent également le mettre à jour à partir de la console. Consultez [Configuration de l'état des résultats du flux de travail dans Security Hub CSPM](findings-workflow-status.md).
**Exemple**
```
"Workflow": {
"Status": "NEW"
}
```
## WorkflowState (Retraité)
Cet objet est retiré et a été remplacé par le `Status` champ de l'`Workflow`objet.
Ce champ indique l'état du flux de travail d'une recherche. Les produits des conclusions peuvent fournir la valeur de `NEW` pour ce champ. Un produit de conclusion peut fournir une valeur pour ce champ s'il y a un produit similaire significatif dans les résultats du système du produit de conclusion.
**Exemple**
```
"WorkflowState": "NEW"
```
# ResourcesObjet ASFF
Dans le format ASFF ( AWS Security Finding Format), l'`Resources`objet fournit des informations sur les ressources impliquées dans une découverte. Il contient un tableau contenant jusqu'à 32 objets de ressources. Pour déterminer le format des noms de ressources, consultez[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md). Pour obtenir des exemples de chaque objet de ressource, sélectionnez une ressource dans la liste suivante.
**Topics**
+ [Attributs des ressources dans l'ASFF](asff-resources-attributes.md)
+ [AwsAmazonMQressources dans ASFF](asff-resourcedetails-awsamazonmq.md)
+ [AwsApiGatewayressources dans ASFF](asff-resourcedetails-awsapigateway.md)
+ [AwsAppSyncressources dans ASFF](asff-resourcedetails-awsappsync.md)
+ [AwsAthenaressources dans ASFF](asff-resourcedetails-awsathena.md)
+ [AwsAutoScalingressources dans ASFF](asff-resourcedetails-awsautoscaling.md)
+ [AwsBackupressources dans ASFF](asff-resourcedetails-awsbackup.md)
+ [AwsCertificateManagerressources dans ASFF](asff-resourcedetails-awscertificatemanager.md)
+ [AwsCloudFormationressources dans ASFF](asff-resourcedetails-awscloudformation.md)
+ [AwsCloudFrontressources dans ASFF](asff-resourcedetails-awscloudfront.md)
+ [AwsCloudTrailressources dans ASFF](asff-resourcedetails-awscloudtrail.md)
+ [AwsCloudWatchressources dans ASFF](asff-resourcedetails-awscloudwatch.md)
+ [AwsCodeBuildressources dans ASFF](asff-resourcedetails-awscodebuild.md)
+ [AwsDmsressources dans ASFF](asff-resourcedetails-awsdms.md)
+ [AwsDynamoDBressources dans ASFF](asff-resourcedetails-awsdynamodb.md)
+ [AwsEc2ressources dans ASFF](asff-resourcedetails-awsec2.md)
+ [AwsEcrressources dans ASFF](asff-resourcedetails-awsecr.md)
+ [AwsEcsressources dans ASFF](asff-resourcedetails-awsecs.md)
+ [AwsEfsressources dans ASFF](asff-resourcedetails-awsefs.md)
+ [AwsEksressources dans ASFF](asff-resourcedetails-awseks.md)
+ [AwsElasticBeanstalkressources dans ASFF](asff-resourcedetails-awselasticbeanstalk.md)
+ [AwsElasticSearchressources dans ASFF](asff-resourcedetails-awselasticsearch.md)
+ [AwsElbressources dans ASFF](asff-resourcedetails-awselb.md)
+ [AwsEventBridgeressources dans ASFF](asff-resourcedetails-awsevent.md)
+ [AwsGuardDutyressources dans ASFF](asff-resourcedetails-awsguardduty.md)
+ [AwsIamressources dans ASFF](asff-resourcedetails-awsiam.md)
+ [AwsKinesisressources dans ASFF](asff-resourcedetails-awskinesis.md)
+ [AwsKmsressources dans ASFF](asff-resourcedetails-awskms.md)
+ [AwsLambda](asff-resourcedetails-awslambda.md)
+ [AwsMskressources dans ASFF](asff-resourcedetails-awsmsk.md)
+ [AwsNetworkFirewallressources dans ASFF](asff-resourcedetails-awsnetworkfirewall.md)
+ [AwsOpenSearchServiceressources dans ASFF](asff-resourcedetails-awsopensearchservice.md)
+ [AwsRdsressources dans ASFF](asff-resourcedetails-awsrds.md)
+ [AwsRedshiftressources dans ASFF](asff-resourcedetails-awsredshift.md)
+ [AwsRoute53ressources dans ASFF](asff-resourcedetails-awsroute53.md)
+ [AwsS3ressources dans ASFF](asff-resourcedetails-awss3.md)
+ [AwsSageMakerressources dans ASFF](asff-resourcedetails-awssagemaker.md)
+ [AwsSecretsManagerressources dans ASFF](asff-resourcedetails-awssecretsmanager.md)
+ [AwsSnsressources dans ASFF](asff-resourcedetails-awssns.md)
+ [AwsSqsressources dans ASFF](asff-resourcedetails-awssqs.md)
+ [AwsSsmressources dans ASFF](asff-resourcedetails-awsssm.md)
+ [AwsStepFunctionsressources dans ASFF](asff-resourcedetails-awsstepfunctions.md)
+ [AwsWafressources dans ASFF](asff-resourcedetails-awswaf.md)
+ [AwsXrayressources dans ASFF](asff-resourcedetails-awsxray.md)
+ [CodeRepositoryobjet dans ASFF](asff-resourcedetails-coderepository.md)
+ [Containerobjet dans ASFF](asff-resourcedetails-container.md)
+ [Otherobjet dans ASFF](asff-resourcedetails-other.md)
# Attributs des ressources dans l'ASFF
Voici des descriptions et des exemples de l'`Resources`objet au format ASFF ( AWS Security Finding Format). Pour plus d’informations sur ces champs, consultez [Ressources](asff-required-attributes.md#Resources).
## ApplicationArn
Identifie le nom de ressource Amazon (ARN) de l'application impliquée dans la recherche.
**Exemple**
```
"ApplicationArn": "arn:aws:resource-groups:us-west-2:123456789012:group/SampleApp/1234567890abcdef0"
```
## ApplicationName
Identifie le nom de l'application impliquée dans la recherche.
**Exemple**
```
"ApplicationName": "SampleApp"
```
## DataClassification
Le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DataClassificationDetails.html)champ fournit des informations sur les données sensibles détectées sur la ressource.
**Exemple**
```
"DataClassification": {
"DetailedResultsLocation": "Path_to_Folder_Or_File",
"Result": {
"MimeType": "text/plain",
"SizeClassified": 2966026,
"AdditionalOccurrences": false,
"Status": {
"Code": "COMPLETE",
"Reason": "Unsupportedfield"
},
"SensitiveData": [
{
"Category": "PERSONAL_INFORMATION",
"Detections": [
{
"Count": 34,
"Type": "GE_PERSONAL_ID",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 10,
"StartColumn": 20
}
],
"Pages": [],
"Records": [],
"Cells": []
}
},
{
"Count": 59,
"Type": "EMAIL_ADDRESS",
"Occurrences": {
"Pages": [
{
"PageNumber": 1,
"OffsetRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
},
"LineRange": {
"Start": 1,
"End": 100,
"StartColumn": 10
}
}
]
}
},
{
"Count": 2229,
"Type": "URL",
"Occurrences": {
"LineRanges": [
{
"Start": 1,
"End": 13
}
]
}
},
{
"Count": 13826,
"Type": "NameDetection",
"Occurrences": {
"Records": [
{
"RecordIndex": 1,
"JsonPath": "$.ssn.value"
}
]
}
},
{
"Count": 32,
"Type": "AddressDetection"
}
],
"TotalCount": 32
}
],
"CustomDataIdentifiers": {
"Detections": [
{
"Arn": "1712be25e7c7f53c731fe464f1c869b8",
"Name": "1712be25e7c7f53c731fe464f1c869b8",
"Count": 2,
}
],
"TotalCount": 2
}
}
}
```
## Détails
Le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)champ fournit des informations supplémentaires sur une seule ressource à l'aide des objets appropriés. Chaque ressource doit être fournie dans un objet de ressource distinct dans l'`Resources`objet.
Notez que si la taille de la recherche dépasse le maximum de 240 Ko, l'`Details`objet est supprimé de la recherche. Pour les résultats de contrôle utilisant AWS Config des règles, vous pouvez consulter les détails des ressources sur la AWS Config console.
Security Hub CSPM fournit un ensemble de détails sur les ressources disponibles pour les types de ressources pris en charge. Ces détails correspondent aux valeurs de l'`Type`objet. Utilisez les types fournis dans la mesure du possible.
Par exemple, si la ressource est un compartiment S3, définissez la ressource `Type` sur `AwsS3Bucket` et fournissez les détails de la ressource dans l'[`AwsS3Bucket`](asff-resourcedetails-awss3.md#asff-resourcedetails-awss3bucket)objet.
L'[`Other`](asff-resourcedetails-other.md)objet vous permet de fournir des champs et des valeurs personnalisés. Vous utilisez l'`Other`objet dans les cas suivants :
+ Le type de ressource (la valeur de la ressource`Type`) n'a pas d'objet de détails correspondant. Pour fournir des détails sur la ressource, vous utilisez l'[`Other`](asff-resourcedetails-other.md)objet.
+ L'objet correspondant au type de ressource n'inclut pas tous les champs que vous souhaitez renseigner. Dans ce cas, utilisez l'objet de détails correspondant au type de ressource pour renseigner les champs disponibles. Utilisez l'`Other`objet pour renseigner les champs qui ne figurent pas dans l'objet spécifique au type.
+ Le type de ressource n'est pas l'un des types fournis. Dans ce cas, définissez `Resource.Type` et utilisez l'`Other`objet pour renseigner les informations. `Other`
**Exemple**
```
"Details": {
"AwsEc2Instance": {
"IamInstanceProfileArn": "arn:aws:iam::123456789012:role/IamInstanceProfileArn",
"ImageId": "ami-79fd7eee",
"IpV4Addresses": ["1.1.1.1"],
"IpV6Addresses": ["2001:db8:1234:1a2b::123"],
"KeyName": "testkey",
"LaunchedAt": "2018-09-29T01:25:54Z",
"MetadataOptions": {
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "enabled",
"HttpPutResponseHopLimit": 1,
"HttpTokens": "optional",
"InstanceMetadataTags": "disabled"
},
"NetworkInterfaces": [
{
"NetworkInterfaceId": "eni-e5aa89a3"
}
],
"SubnetId": "PublicSubnet",
"Type": "i3.xlarge",
"VirtualizationType": "hvm",
"VpcId": "TestVPCIpv6"
},
"AwsS3Bucket": {
"OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de",
"OwnerName": "acmes3bucketowner"
},
"Other": { "LightPen": "blinky", "SerialNo": "1234abcd"}
}
```
## Id
Identifiant du type de ressource donné.
Pour les AWS ressources identifiées par Amazon Resource Names (ARNs), il s'agit de l'ARN.
Pour les AWS ressources manquantes ARNs, il s'agit de l'identifiant tel que défini par le AWS service qui a créé la ressource.
Pour les AWS ressources autres que les ressources, il s'agit d'un identifiant unique associé à la ressource.
**Exemple**
```
"Id": "arn:aws:s3:::amzn-s3-demo-bucket"
```
## Partition
Partition dans laquelle se trouve la ressource. Une partition est un groupe de Régions AWS. Chacune Compte AWS est limitée à une partition.
Les partitions suivantes sont prises en charge :
+ `aws` – Régions AWS
+ `aws-cn` – Régions en Chine
+ `aws-us-gov` – AWS GovCloud (US) Region
**Exemple**
```
"Partition": "aws"
```
## Région
Code indiquant Région AWS où se trouve cette ressource. Pour obtenir la liste des codes de région, consultez la section [Points de terminaison régionaux](https://docs.aws.amazon.com/general/latest/gr/rande.html#regional-endpoints).
**Exemple**
```
"Region": "us-west-2"
```
## ResourceRole
Identifie le rôle de la ressource dans le résultat. Une ressource est soit la cible de l'activité de recherche, soit l'acteur qui a effectué l'activité.
**Exemple**
```
"ResourceRole": "target"
```
## Étiquettes
Ce champ fournit des informations sur la clé de balise et la valeur de la ressource impliquée dans une recherche. Vous pouvez baliser [les ressources prises en charge](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) par le `GetResources` fonctionnement de l'API de Groupes de ressources AWS balisage. Security Hub CSPM appelle cette opération via le [rôle lié au service](using-service-linked-roles.md) et récupère les balises de ressource si le `Resource.Id` champ AWS Security Finding Format (ASFF) est renseigné avec l'ARN de la ressource. AWS IDs Les ressources non valides sont ignorées.
Vous pouvez ajouter des balises de ressources aux résultats ingérés par Security Hub CSPM, notamment aux résultats de produits intégrés Services AWS et tiers.
L'ajout de balises indique les balises associées à une ressource au moment du traitement de la recherche. Vous ne pouvez inclure l'`Tags`attribut que pour les ressources associées à une balise. Si une ressource n'a pas de balise associée, n'incluez pas d'attribut `Tags` dans le résultat.
L'inclusion de balises de ressources dans les résultats élimine le besoin de créer des pipelines d'enrichissement des données ou d'enrichir manuellement les métadonnées des résultats de sécurité. Vous pouvez également utiliser des balises pour rechercher ou filtrer les résultats et les informations et créer des [règles d'automatisation](automation-rules.md).
Pour plus d'informations sur les restrictions applicables aux balises, consultez la section [Limites et exigences relatives à la dénomination des balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions).
Vous ne pouvez fournir que des balises qui existent sur une AWS ressource dans ce champ. Pour fournir des données qui ne sont pas définies dans le format AWS de recherche de sécurité, utilisez le sous-champ `Other` Détails.
**Exemple**
```
"Tags": {
"billingCode": "Lotus-1-2-3",
"needsPatching": "true"
}
```
## Type
Type de ressource pour laquelle vous fournissez des informations.
Dans la mesure du possible, utilisez l'un des types de ressources fournis, tel que `AwsEc2Instance` ou `AwsS3Bucket`.
Si le type de ressource ne correspond à aucun des types de ressources fournis, définissez la ressource `Type` sur et utilisez le sous-champ `Other` Détails pour renseigner les détails. `Other`
Les valeurs prises en charge sont répertoriées sous [Ressources](asff-resources.md).
**Exemple**
```
"Type": "AwsS3Bucket"
```
# AwsAmazonMQressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsAmazonMQ` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsAmazonMQBroker
`AwsAmazonMQBroker`fournit des informations sur un courtier Amazon MQ, qui est un environnement de courtier de messages exécuté sur Amazon MQ.
L'exemple suivant montre l'ASFF pour l'`AwsAmazonMQBroker`objet. Pour consulter les descriptions des `AwsAmazonMQBroker` attributs, reportez-vous [AwsAmazonMQBroker](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAmazonMQBrokerDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsAmazonMQBroker": {
"AutoMinorVersionUpgrade": true,
"BrokerArn": "arn:aws:mq:us-east-1:123456789012:broker:TestBroker:b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"BrokerId": "b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"BrokerName": "TestBroker",
"Configuration": {
"Id": "c-a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"Revision": 1
},
"DeploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
"EncryptionOptions": {
"UseAwsOwnedKey": true
},
"EngineType": "ActiveMQ",
"EngineVersion": "5.17.2",
"HostInstanceType": "mq.t2.micro",
"Logs": {
"Audit": false,
"AuditLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/audit",
"General": false,
"GeneralLogGroup": "/aws/amazonmq/broker/b-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111/general"
},
"MaintenanceWindowStartTime": {
"DayOfWeek": "MONDAY",
"TimeOfDay": "22:00",
"TimeZone": "UTC"
},
"PubliclyAccessible": true,
"SecurityGroups": [
"sg-021345abcdef6789"
],
"StorageType": "efs",
"SubnetIds": [
"subnet-1234567890abcdef0",
"subnet-abcdef01234567890"
],
"Users": [
{
"Username": "admin"
}
]
}
```
# AwsApiGatewayressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsApiGateway` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsApiGatewayRestApi
L'`AwsApiGatewayRestApi`objet contient des informations sur une API REST dans la version 1 d'Amazon API Gateway.
Voici un exemple de `AwsApiGatewayRestApi` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsApiGatewayRestApi` attributs, reportez-vous [AwsApiGatewayRestApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayRestApiDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
AwsApiGatewayRestApi: {
"Id": "exampleapi",
"Name": "Security Hub",
"Description": "AWS Security Hub",
"CreatedDate": "2018-11-18T10:20:05-08:00",
"Version": "2018-10-26",
"BinaryMediaTypes" : ["-'*~1*'"],
"MinimumCompressionSize": 1024,
"ApiKeySource": "AWS_ACCOUNT_ID",
"EndpointConfiguration": {
"Types": [
"REGIONAL"
]
}
}
```
## AwsApiGatewayStage
L'`AwsApiGatewayStage`objet fournit des informations sur un stage Amazon API Gateway version 1.
Voici un exemple de `AwsApiGatewayStage` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsApiGatewayStage` attributs, reportez-vous [AwsApiGatewayStageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayStageDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsApiGatewayStage": {
"DeploymentId": "n7hlmf",
"ClientCertificateId": "a1b2c3",
"StageName": "Prod",
"Description" : "Stage Description",
"CacheClusterEnabled": false,
"CacheClusterSize" : "1.6",
"CacheClusterStatus": "NOT_AVAILABLE",
"MethodSettings": [
{
"MetricsEnabled": true,
"LoggingLevel": "INFO",
"DataTraceEnabled": false,
"ThrottlingBurstLimit": 100,
"ThrottlingRateLimit": 5.0,
"CachingEnabled": false,
"CacheTtlInSeconds": 300,
"CacheDataEncrypted": false,
"RequireAuthorizationForCacheControl": true,
"UnauthorizedCacheControlHeaderStrategy": "SUCCEED_WITH_RESPONSE_HEADER",
"HttpMethod": "POST",
"ResourcePath": "/echo"
}
],
"Variables": {"test": "value"},
"DocumentationVersion": "2.0",
"AccessLogSettings": {
"Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
"DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
},
"CanarySettings": {
"PercentTraffic": 0.0,
"DeploymentId": "ul73s8",
"StageVariableOverrides" : [
"String" : "String"
],
"UseStageCache": false
},
"TracingEnabled": false,
"CreatedDate": "2018-07-11T10:55:18-07:00",
"LastUpdatedDate": "2020-08-26T11:51:04-07:00",
"WebAclArn" : "arn:aws:waf-regional:us-west-2:111122223333:webacl/cb606bd8-5b0b-4f0b-830a-dd304e48a822"
}
```
## AwsApiGatewayAPI V2
L'`AwsApiGatewayV2Api`objet contient des informations sur une API version 2 dans Amazon API Gateway.
Voici un exemple de `AwsApiGatewayV2Api` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsApiGatewayV2Api` attributs, reportez-vous à la section [AwsApiGatewayV2 ApiDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2ApiDetails.html) dans la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsApiGatewayV2Api": {
"ApiEndpoint": "https://example.us-west-2.amazonaws.com",
"ApiId": "a1b2c3d4",
"ApiKeySelectionExpression": "$request.header.x-api-key",
"CreatedDate": "2020-03-28T00:32:37Z",
"Description": "ApiGatewayV2 Api",
"Version": "string",
"Name": "my-api",
"ProtocolType": "HTTP",
"RouteSelectionExpression": "$request.method $request.path",
"CorsConfiguration": {
"AllowOrigins": [ "*" ],
"AllowCredentials": true,
"ExposeHeaders": [ "string" ],
"MaxAge": 3000,
"AllowMethods": [
"GET",
"PUT",
"POST",
"DELETE",
"HEAD"
],
"AllowHeaders": [ "*" ]
}
}
```
## AwsApiGatewayÉtape V2
`AwsApiGatewayV2Stage`contient des informations sur une étape de version 2 pour Amazon API Gateway.
Voici un exemple de `AwsApiGatewayV2Stage` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsApiGatewayV2Stage` attributs, reportez-vous à la section [AwsApiGatewayV2 StageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsApiGatewayV2StageDetails.html) dans la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsApiGatewayV2Stage": {
"CreatedDate": "2020-04-08T00:36:05Z",
"Description" : "ApiGatewayV2",
"DefaultRouteSettings": {
"DetailedMetricsEnabled": false,
"LoggingLevel": "INFO",
"DataTraceEnabled": true,
"ThrottlingBurstLimit": 100,
"ThrottlingRateLimit": 50
},
"DeploymentId": "x1zwyv",
"LastUpdatedDate": "2020-04-08T00:36:13Z",
"RouteSettings": {
"DetailedMetricsEnabled": false,
"LoggingLevel": "INFO",
"DataTraceEnabled": true,
"ThrottlingBurstLimit": 100,
"ThrottlingRateLimit": 50
},
"StageName": "prod",
"StageVariables": [
"function": "my-prod-function"
],
"AccessLogSettings": {
"Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }",
"DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod"
},
"AutoDeploy": false,
"LastDeploymentStatusMessage": "Message",
"ApiGatewayManaged": true,
}
```
# AwsAppSyncressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsAppSync` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsAppSyncGraphQLApi
`AwsAppSyncGraphQLApi`fournit des informations sur une API AWS AppSync GraphQL, qui est une construction de haut niveau pour votre application.
L'exemple suivant montre l'ASFF pour l'`AwsAppSyncGraphQLApi`objet. Pour consulter les descriptions des `AwsAppSyncGraphQLApi` attributs, reportez-vous [AwsAppSyncGraphQLApi](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAppSyncGraphQLApiDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsAppSyncGraphQLApi": {
"AdditionalAuthenticationProviders": [
{
"AuthenticationType": "AWS_LAMBDA",
"LambdaAuthorizerConfig": {
"AuthorizerResultTtlInSeconds": 300,
"AuthorizerUri": "arn:aws:lambda:us-east-1:123456789012:function:mylambdafunc"
}
},
{
"AuthenticationType": "AWS_IAM"
}
],
"ApiId": "021345abcdef6789",
"Arn": "arn:aws:appsync:eu-central-1:123456789012:apis/021345abcdef6789",
"AuthenticationType": "API_KEY",
"Id": "021345abcdef6789",
"LogConfig": {
"CloudWatchLogsRoleArn": "arn:aws:iam::123456789012:role/service-role/appsync-graphqlapi-logs-eu-central-1",
"ExcludeVerboseContent": true,
"FieldLogLevel": "ALL"
},
"Name": "My AppSync App",
"XrayEnabled": true,
}
```
# AwsAthenaressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsAthena` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsAthenaWorkGroup
`AwsAthenaWorkGroup`fournit des informations sur un groupe de travail Amazon Athena. Un groupe de travail vous permet de séparer les utilisateurs, les équipes, les applications ou les charges de travail. Il vous aide également à définir des limites en matière de traitement des données et à suivre les coûts.
L'exemple suivant montre l'ASFF pour l'`AwsAthenaWorkGroup`objet. Pour consulter les descriptions des `AwsAthenaWorkGroup` attributs, reportez-vous [AwsAthenaWorkGroup](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAthenaWorkGroupDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsAthenaWorkGroup": {
"Description": "My workgroup for prod workloads",
"Name": "MyWorkgroup",
"WorkgroupConfiguration" {
"ResultConfiguration": {
"EncryptionConfiguration": {
"EncryptionOption": "SSE_KMS",
"KmsKey": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
"State": "ENABLED"
}
```
# AwsAutoScalingressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsAutoScaling` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsAutoScalingAutoScalingGroup
L'`AwsAutoScalingAutoScalingGroup`objet fournit des détails sur un groupe de mise à l'échelle automatique.
Voici un exemple de `AwsAutoScalingAutoScalingGroup` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsAutoScalingAutoScalingGroup` attributs, reportez-vous [AwsAutoScalingAutoScalingGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingAutoScalingGroupDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsAutoScalingAutoScalingGroup": {
"CreatedTime": "2017-10-17T14:47:11Z",
"HealthCheckGracePeriod": 300,
"HealthCheckType": "EC2",
"LaunchConfigurationName": "mylaunchconf",
"LoadBalancerNames": [],
"LaunchTemplate": {
"LaunchTemplateId": "string",
"LaunchTemplateName": "string",
"Version": "string"
},
"MixedInstancesPolicy": {
"InstancesDistribution": {
"OnDemandAllocationStrategy": "prioritized",
"OnDemandBaseCapacity": number,
"OnDemandPercentageAboveBaseCapacity": number,
"SpotAllocationStrategy": "lowest-price",
"SpotInstancePools": number,
"SpotMaxPrice": "string"
},
"LaunchTemplate": {
"LaunchTemplateSpecification": {
"LaunchTemplateId": "string",
"LaunchTemplateName": "string",
"Version": "string"
},
"CapacityRebalance": true,
"Overrides": [
{
"InstanceType": "string",
"WeightedCapacity": "string"
}
]
}
}
}
}
```
## AwsAutoScalingLaunchConfiguration
L'`AwsAutoScalingLaunchConfiguration`objet fournit des détails sur une configuration de lancement.
Voici un exemple de `AwsAutoScalingLaunchConfiguration` recherche au format ASFF ( AWS Security Finding Format).
Pour consulter les descriptions des `AwsAutoScalingLaunchConfiguration` attributs, reportez-vous [AwsAutoScalingLaunchConfigurationDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsAutoScalingLaunchConfigurationDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
AwsAutoScalingLaunchConfiguration: {
"LaunchConfigurationName": "newtest",
"ImageId": "ami-058a3739b02263842",
"KeyName": "55hundredinstance",
"SecurityGroups": [ "sg-01fce87ad6e019725" ],
"ClassicLinkVpcSecurityGroups": [],
"UserData": "...Base64-Encoded user data..."
"InstanceType": "a1.metal",
"KernelId": "",
"RamdiskId": "ari-a51cf9cc",
"BlockDeviceMappings": [
{
"DeviceName": "/dev/sdh",
"Ebs": {
"VolumeSize": 30,
"VolumeType": "gp2",
"DeleteOnTermination": false,
"Encrypted": true,
"SnapshotId": "snap-ffaa1e69",
"VirtualName": "ephemeral1"
}
},
{
"DeviceName": "/dev/sdb",
"NoDevice": true
},
{
"DeviceName": "/dev/sda1",
"Ebs": {
"SnapshotId": "snap-02420cd3d2dea1bc0",
"VolumeSize": 8,
"VolumeType": "gp2",
"DeleteOnTermination": true,
"Encrypted": false
}
},
{
"DeviceName": "/dev/sdi",
"Ebs": {
"VolumeSize": 20,
"VolumeType": "gp2",
"DeleteOnTermination": false,
"Encrypted": true
}
},
{
"DeviceName": "/dev/sdc",
"NoDevice": true
}
],
"InstanceMonitoring": {
"Enabled": false
},
"CreatedTime": 1620842933453,
"EbsOptimized": false,
"AssociatePublicIpAddress": true,
"SpotPrice": "0.045"
}
```
# AwsBackupressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsBackup` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsBackupBackupPlan
L'`AwsBackupBackupPlan`objet fournit des informations sur un plan AWS Backup de sauvegarde. Un plan de AWS Backup sauvegarde est une expression de politique qui définit quand et comment vous souhaitez sauvegarder vos AWS ressources.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsBackupBackupPlan`objet. Pour consulter les descriptions des `AwsBackupBackupPlan` attributs, reportez-vous [AwsBackupBackupPlan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupPlanDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsBackupBackupPlan": {
"BackupPlan": {
"AdvancedBackupSettings": [{
"BackupOptions": {
"WindowsVSS":"enabled"
},
"ResourceType":"EC2"
}],
"BackupPlanName": "test",
"BackupPlanRule": [{
"CompletionWindowMinutes": 10080,
"CopyActions": [{
"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
"Lifecycle": {
"DeleteAfterDays": 365,
"MoveToColdStorageAfterDays": 30
}
}],
"Lifecycle": {
"DeleteAfterDays": 35
},
"RuleName": "DailyBackups",
"ScheduleExpression": "cron(0 5 ? * * *)",
"StartWindowMinutes": 480,
"TargetBackupVault": "Default"
},
{
"CompletionWindowMinutes": 10080,
"CopyActions": [{
"DestinationBackupVaultArn": "arn:aws:backup:us-east-1:858726136373:backup-vault:aws/efs/automatic-backup-vault",
"Lifecycle": {
"DeleteAfterDays": 365,
"MoveToColdStorageAfterDays": 30
}
}],
"Lifecycle": {
"DeleteAfterDays": 35
},
"RuleName": "Monthly",
"ScheduleExpression": "cron(0 5 1 * ? *)",
"StartWindowMinutes": 480,
"TargetBackupVault": "Default"
}]
},
"BackupPlanArn": "arn:aws:backup:us-east-1:858726136373:backup-plan:b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
"BackupPlanId": "b6d6b896-590d-4ee1-bf29-c5ccae63f4e7",
"VersionId": "ZDVjNDIzMjItYTZiNS00NzczLTg4YzctNmExMWM2NjZhY2E1"
}
```
## AwsBackupBackupVault
L'`AwsBackupBackupVault`objet fournit des informations sur un coffre-fort AWS Backup de sauvegarde. Un coffre AWS Backup de sauvegarde est un conteneur qui stocke et organise vos sauvegardes.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsBackupBackupVault`objet. Pour consulter les descriptions des `AwsBackupBackupVault` attributs, reportez-vous [AwsBackupBackupVault](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupBackupVaultDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsBackupBackupVault": {
"AccessPolicy": {
"Statement": [{
"Action": [
"backup:DeleteBackupVault",
"backup:DeleteBackupVaultAccessPolicy",
"backup:DeleteRecoveryPoint",
"backup:StartCopyJob",
"backup:StartRestoreJob",
"backup:UpdateRecoveryPointLifecycle"
],
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*"
}],
"Version": "2012-10-17"
},
"BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:aws/efs/automatic-backup-vault",
"BackupVaultName": "aws/efs/automatic-backup-vault",
"EncrytionKeyArn": "arn:aws:kms:us-east-1:444455556666:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
"Notifications": {
"BackupVaultEvents": ["BACKUP_JOB_STARTED", "BACKUP_JOB_COMPLETED", "COPY_JOB_STARTED"],
"SNSTopicArn": "arn:aws:sns:us-west-2:111122223333:MyVaultTopic"
}
}
```
## AwsBackupRecoveryPoint
L'`AwsBackupRecoveryPoint`objet fournit des informations sur une AWS Backup sauvegarde, également appelée point de restauration. Un point AWS Backup de récupération représente le contenu d'une ressource à un moment précis.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsBackupRecoveryPoint`objet. Pour consulter les descriptions des `AwsBackupBackupVault` attributs, reportez-vous [AwsBackupRecoveryPoint](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsBackupRecoveryPointDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsBackupRecoveryPoint": {
"BackupSizeInBytes": 0,
"BackupVaultName": "aws/efs/automatic-backup-vault",
"BackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
"CalculatedLifecycle": {
"DeleteAt": "2021-08-30T06:51:58.271Z",
"MoveToColdStorageAt": "2020-08-10T06:51:58.271Z"
},
"CompletionDate": "2021-07-26T07:21:40.361Z",
"CreatedBy": {
"BackupPlanArn": "arn:aws:backup:us-east-1:111122223333:backup-plan:aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
"BackupPlanId": "aws/efs/73d922fb-9312-3a70-99c3-e69367f9fdad",
"BackupPlanVersion": "ZGM4YzY5YjktMWYxNC00ZTBmLWE5MjYtZmU5OWNiZmM5ZjIz",
"BackupRuleId": "2a600c2-42ad-4196-808e-084923ebfd25"
},
"CreationDate": "2021-07-26T06:51:58.271Z",
"EncryptionKeyArn": "arn:aws:kms:us-east-1:111122223333:key/72ba68d4-5e43-40b0-ba38-838bf8d06ca0",
"IamRoleArn": "arn:aws:iam::111122223333:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup",
"IsEncrypted": true,
"LastRestoreTime": "2021-07-26T06:51:58.271Z",
"Lifecycle": {
"DeleteAfterDays": 35,
"MoveToColdStorageAfterDays": 15
},
"RecoveryPointArn": "arn:aws:backup:us-east-1:111122223333:recovery-point:151a59e4-f1d5-4587-a7fd-0774c6e91268",
"ResourceArn": "arn:aws:elasticfilesystem:us-east-1:858726136373:file-system/fs-15bd31a1",
"ResourceType": "EFS",
"SourceBackupVaultArn": "arn:aws:backup:us-east-1:111122223333:backup-vault:aws/efs/automatic-backup-vault",
"Status": "COMPLETED",
"StatusMessage": "Failure message",
"StorageClass": "WARM"
}
```
# AwsCertificateManagerressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsCertificateManager` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsCertificateManagerCertificate
L'`AwsCertificateManagerCertificate`objet fournit des détails sur un certificat AWS Certificate Manager (ACM).
Voici un exemple de `AwsCertificateManagerCertificate` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsCertificateManagerCertificate` attributs, reportez-vous [AwsCertificateManagerCertificateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCertificateManagerCertificateDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsCertificateManagerCertificate": {
"CertificateAuthorityArn": "arn:aws:acm:us-west-2:444455556666:certificate-authority/example",
"CreatedAt": "2019-05-24T18:12:02.000Z",
"DomainName": "example.amazondomains.com",
"DomainValidationOptions": [
{
"DomainName": "example.amazondomains.com",
"ResourceRecord": {
"Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
"Type": "CNAME",
"Value": "_example.acm-validations.aws."
},
"ValidationDomain": "example.amazondomains.com",
"ValidationEmails": [sample_email@sample.com],
"ValidationMethod": "DNS",
"ValidationStatus": "SUCCESS"
}
],
"ExtendedKeyUsages": [
{
"Name": "TLS_WEB_SERVER_AUTHENTICATION",
"OId": "1.3.6.1.5.5.7.3.1"
},
{
"Name": "TLS_WEB_CLIENT_AUTHENTICATION",
"OId": "1.3.6.1.5.5.7.3.2"
}
],
"FailureReason": "",
"ImportedAt": "2018-08-17T00:13:00.000Z",
"InUseBy": ["arn:aws:amazondomains:us-west-2:444455556666:loadbalancer/example"],
"IssuedAt": "2020-04-26T00:41:17.000Z",
"Issuer": "Amazon",
"KeyAlgorithm": "RSA-1024",
"KeyUsages": [
{
"Name": "DIGITAL_SIGNATURE",
},
{
"Name": "KEY_ENCIPHERMENT",
}
],
"NotAfter": "2021-05-26T12:00:00.000Z",
"NotBefore": "2020-04-26T00:00:00.000Z",
"Options": {
"CertificateTransparencyLoggingPreference": "ENABLED",
}
"RenewalEligibility": "ELIGIBLE",
"RenewalSummary": {
"DomainValidationOptions": [
{
"DomainName": "example.amazondomains.com",
"ResourceRecord": {
"Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com",
"Type": "CNAME",
"Value": "_example.acm-validations.aws.com",
},
"ValidationDomain": "example.amazondomains.com",
"ValidationEmails": ["sample_email@sample.com"],
"ValidationMethod": "DNS",
"ValidationStatus": "SUCCESS"
}
],
"RenewalStatus": "SUCCESS",
"RenewalStatusReason": "",
"UpdatedAt": "2020-04-26T00:41:35.000Z",
},
"Serial": "02:ac:86:b6:07:2f:0a:61:0e:3a:ac:fd:d9:ab:17:1a",
"SignatureAlgorithm": "SHA256WITHRSA",
"Status": "ISSUED",
"Subject": "CN=example.amazondomains.com",
"SubjectAlternativeNames": ["example.amazondomains.com"],
"Type": "AMAZON_ISSUED"
}
```
# AwsCloudFormationressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsCloudFormation` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsCloudFormationStack
L'`AwsCloudFormationStack`objet fournit des détails sur une AWS CloudFormation pile imbriquée en tant que ressource dans un modèle de niveau supérieur.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsCloudFormationStack`objet. Pour consulter les descriptions des `AwsCloudFormationStack` attributs, reportez-vous [AwsCloudFormationStackDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFormationStackDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsCloudFormationStack": {
"Capabilities": [
"CAPABILITY_IAM",
"CAPABILITY_NAMED_IAM"
],
"CreationTime": "2022-02-18T15:31:53.161Z",
"Description": "AWS CloudFormation Sample",
"DisableRollback": true,
"DriftInformation": {
"StackDriftStatus": "DRIFTED"
},
"EnableTerminationProtection": false,
"LastUpdatedTime": "2022-02-18T15:31:53.161Z",
"NotificationArns": [
"arn:aws:sns:us-east-1:978084797471:sample-sns-cfn"
],
"Outputs": [{
"Description": "URL for newly created LAMP stack",
"OutputKey": "WebsiteUrl",
"OutputValue": "http://ec2-44-193-18-241.compute-1.amazonaws.com"
}],
"RoleArn": "arn:aws:iam::012345678910:role/exampleRole",
"StackId": "arn:aws:cloudformation:us-east-1:978084797471:stack/sample-stack/e5d9f7e0-90cf-11ec-88c6-12ac1f91724b",
"StackName": "sample-stack",
"StackStatus": "CREATE_COMPLETE",
"StackStatusReason": "Success",
"TimeoutInMinutes": 1
}
```
# AwsCloudFrontressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsCloudFront` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsCloudFrontDistribution
L'`AwsCloudFrontDistribution`objet fournit des détails sur la configuration d'une CloudFront distribution Amazon.
Voici un exemple de `AwsCloudFrontDistribution` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsCloudFrontDistribution` attributs, reportez-vous [AwsCloudFrontDistributionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudFrontDistributionDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsCloudFrontDistribution": {
"CacheBehaviors": {
"Items": [
{
"ViewerProtocolPolicy": "https-only"
}
]
},
"DefaultCacheBehavior": {
"ViewerProtocolPolicy": "https-only"
},
"DefaultRootObject": "index.html",
"DomainName": "d2wkuj2w9l34gt.cloudfront.net",
"Etag": "E37HOT42DHPVYH",
"LastModifiedTime": "2015-08-31T21:11:29.093Z",
"Logging": {
"Bucket": "myawslogbucket.s3.amazonaws.com",
"Enabled": false,
"IncludeCookies": false,
"Prefix": "myawslog/"
},
"OriginGroups": {
"Items": [
{
"FailoverCriteria": {
"StatusCodes": {
"Items": [
200,
301,
404
]
"Quantity": 3
}
}
}
]
},
"Origins": {
"Items": [
{
"CustomOriginConfig": {
"HttpPort": 80,
"HttpsPort": 443,
"OriginKeepaliveTimeout": 60,
"OriginProtocolPolicy": "match-viewer",
"OriginReadTimeout": 30,
"OriginSslProtocols": {
"Items": ["SSLv3", "TLSv1"],
"Quantity": 2
}
}
},
]
},
"DomainName": "amzn-s3-demo-bucket.s3.amazonaws.com",
"Id": "my-origin",
"OriginPath": "/production",
"S3OriginConfig": {
"OriginAccessIdentity": "origin-access-identity/cloudfront/E2YFS67H6VB6E4"
}
]
},
"Status": "Deployed",
"ViewerCertificate": {
"AcmCertificateArn": "arn:aws:acm::123456789012:AcmCertificateArn",
"Certificate": "ASCAJRRE5XYF52TKRY5M4",
"CertificateSource": "iam",
"CloudFrontDefaultCertificate": true,
"IamCertificateId": "ASCAJRRE5XYF52TKRY5M4",
"MinimumProtocolVersion": "TLSv1.2_2021",
"SslSupportMethod": "sni-only"
},
"WebAclId": "waf-1234567890"
}
```
# AwsCloudTrailressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsCloudTrail` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsCloudTrailTrail
L'`AwsCloudTrailTrail`objet fournit des détails sur un AWS CloudTrail parcours.
Voici un exemple de `AwsCloudTrailTrail` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsCloudTrailTrail` attributs, reportez-vous [AwsCloudTrailTrailDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudTrailTrailDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsCloudTrailTrail": {
"CloudWatchLogsLogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:CloudTrail/regression:*",
"CloudWatchLogsRoleArn": "arn:aws:iam::866482105055:role/CloudTrail_CloudWatchLogs",
"HasCustomEventSelectors": true,
"HomeRegion": "us-west-2",
"IncludeGlobalServiceEvents": true,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"KmsKeyId": "kmsKeyId",
"LogFileValidationEnabled": true,
"Name": "regression-trail",
"S3BucketName": "cloudtrail-bucket",
"S3KeyPrefix": "s3KeyPrefix",
"SnsTopicArn": "arn:aws:sns:us-east-2:123456789012:MyTopic",
"SnsTopicName": "snsTopicName",
"TrailArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail"
}
```
# AwsCloudWatchressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsCloudWatch` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsCloudWatchAlarm
L'`AwsCloudWatchAlarm`objet fournit des informations sur les CloudWatch alarmes Amazon qui surveillent une métrique ou exécutent une action lorsqu'une alarme change d'état.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsCloudWatchAlarm`objet. Pour consulter les descriptions des `AwsCloudWatchAlarm` attributs, reportez-vous [AwsCloudWatchAlarmDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCloudWatchAlarmDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsCloudWatchAlarm": {
"ActionsEnabled": true,
"AlarmActions": [
"arn:aws:automate:region:ec2:stop",
"arn:aws:automate:region:ec2:terminate"
],
"AlarmArn": "arn:aws:cloudwatch:us-west-2:012345678910:alarm:sampleAlarm",
"AlarmConfigurationUpdatedTimestamp": "2022-02-18T15:31:53.161Z",
"AlarmDescription": "Alarm Example",
"AlarmName": "Example",
"ComparisonOperator": "GreaterThanOrEqualToThreshold",
"DatapointsToAlarm": 1,
"Dimensions": [{
"Name": "InstanceId",
"Value": "i-1234567890abcdef0"
}],
"EvaluateLowSampleCountPercentile": "evaluate",
"EvaluationPeriods": 1,
"ExtendedStatistic": "p99.9",
"InsufficientDataActions": [
"arn:aws:automate:region:ec2:stop"
],
"MetricName": "Sample Metric",
"Namespace": "YourNamespace",
"OkActions": [
"arn:aws:swf:region:account-id:action/actions/AWS_EC2.InstanceId.Stop/1.0"
],
"Period": 1,
"Statistic": "SampleCount",
"Threshold": 12.3,
"ThresholdMetricId": "t1",
"TreatMissingData": "notBreaching",
"Unit": "Kilobytes/Second"
}
```
# AwsCodeBuildressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsCodeBuild` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsCodeBuildProject
L'objet `AwsCodeBuildProject` fournit des informations sur un projet AWS CodeBuild .
Voici un exemple de `AwsCodeBuildProject` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsCodeBuildProject` attributs, reportez-vous [AwsCodeBuildProjectDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsCodeBuildProjectDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsCodeBuildProject": {
"Artifacts": [
{
"ArtifactIdentifier": "string",
"EncryptionDisabled": boolean,
"Location": "string",
"Name": "string",
"NamespaceType": "string",
"OverrideArtifactName": boolean,
"Packaging": "string",
"Path": "string",
"Type": "string"
}
],
"SecondaryArtifacts": [
{
"ArtifactIdentifier": "string",
"EncryptionDisabled": boolean,
"Location": "string",
"Name": "string",
"NamespaceType": "string",
"OverrideArtifactName": boolean,
"Packaging": "string",
"Path": "string",
"Type": "string"
}
],
"EncryptionKey": "string",
"Certificate": "string",
"Environment": {
"Certificate": "string",
"EnvironmentVariables": [
{
"Name": "string",
"Type": "string",
"Value": "string"
}
],
"ImagePullCredentialsType": "string",
"PrivilegedMode": boolean,
"RegistryCredential": {
"Credential": "string",
"CredentialProvider": "string"
},
"Type": "string"
},
"LogsConfig": {
"CloudWatchLogs": {
"GroupName": "string",
"Status": "string",
"StreamName": "string"
},
"S3Logs": {
"EncryptionDisabled": boolean,
"Location": "string",
"Status": "string"
}
},
"Name": "string",
"ServiceRole": "string",
"Source": {
"Type": "string",
"Location": "string",
"GitCloneDepth": integer
},
"VpcConfig": {
"VpcId": "string",
"Subnets": ["string"],
"SecurityGroupIds": ["string"]
}
}
```
# AwsDmsressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsDms` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsDmsEndpoint
L'`AwsDmsEndpoint`objet fournit des informations sur un point de terminaison AWS Database Migration Service (AWS DMS). Un point de terminaison fournit des informations de connexion, de type de magasin de données et de localisation concernant votre magasin de données.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsDmsEndpoint`objet. Pour consulter les descriptions des `AwsDmsEndpoint` attributs, reportez-vous [AwsDmsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsEndpointDeatils.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsDmsEndpoint": {
"CertificateArn": "arn:aws:dms:us-east-1:123456789012:cert:EXAMPLEIGDURVZGVJQZDPWJ5A7F2YDJVSMTBWFI",
"DatabaseName": "Test",
"EndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:EXAMPLEQB3CZY33F7XV253NAJVBNPK6MJQVFVQA",
"EndpointIdentifier": "target-db",
"EndpointType": "TARGET",
"EngineName": "mariadb",
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Port": 3306,
"ServerName": "target-db.exampletafyu.us-east-1.rds.amazonaws.com",
"SslMode": "verify-ca",
"Username": "admin"
}
```
## AwsDmsReplicationInstance
L'`AwsDmsReplicationInstance`objet fournit des informations sur une instance de réplication AWS Database Migration Service (AWS DMS). DMS utilise une instance de réplication pour se connecter à votre magasin de données source, lire les données sources et formater les données pour qu'elles soient consommées par le magasin de données cible.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsDmsReplicationInstance`objet. Pour consulter les descriptions des `AwsDmsReplicationInstance` attributs, reportez-vous [AwsDmsReplicationInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationInstanceDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsDmsReplicationInstance": {
"AllocatedStorage": 50,
"AutoMinorVersionUpgrade": true,
"AvailabilityZone": "us-east-1b",
"EngineVersion": "3.5.1",
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"MultiAZ": false,
"PreferredMaintenanceWindow": "wed:08:08-wed:08:38",
"PubliclyAccessible": true,
"ReplicationInstanceClass": "dms.c5.xlarge",
"ReplicationInstanceIdentifier": "second-replication-instance",
"ReplicationSubnetGroup": {
"ReplicationSubnetGroupIdentifier": "default-vpc-2344f44f"
},
"VpcSecurityGroups": [
{
"VpcSecurityGroupId": "sg-003a34e205138138b"
}
]
}
```
## AwsDmsReplicationTask
L'`AwsDmsReplicationTask`objet fournit des informations sur une tâche de réplication AWS Database Migration Service (AWS DMS). Une tâche de réplication déplace un ensemble de données du point de terminaison source vers le point de terminaison cible.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsDmsReplicationInstance`objet. Pour consulter les descriptions des `AwsDmsReplicationInstance` attributs, reportez-vous [AwsDmsReplicationInstance](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDmsReplicationTaskDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsDmsReplicationTask": {
"CdcStartPosition": "2023-08-28T14:26:22",
"Id": "arn:aws:dms:us-east-1:123456789012:task:YDYUOHZIXWKQSUCBMUCQCNY44SJW74VJNB5DFWQ",
"MigrationType": "cdc",
"ReplicationInstanceArn": "arn:aws:dms:us-east-1:123456789012:rep:T7V6RFDP23PYQWUL26N3PF5REKML4YOUGIMYJUI",
"ReplicationTaskIdentifier": "test-task",
"ReplicationTaskSettings": "{\"Logging\":{\"EnableLogging\":false,\"EnableLogContext\":false,\"LogComponents\":[{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TRANSFORMATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_UNLOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"IO\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_LOAD\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"PERFORMANCE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SOURCE_CAPTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"SORTER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"REST_SERVER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"VALIDATOR_EXT\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TARGET_APPLY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TASK_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"TABLES_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"METADATA_MANAGER\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_FACTORY\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMON\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"ADDONS\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"DATA_STRUCTURE\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"COMMUNICATION\"},{\"Severity\":\"LOGGER_SEVERITY_DEFAULT\",\"Id\":\"FILE_TRANSFER\"}],\"CloudWatchLogGroup\":null,\"CloudWatchLogStream\":null},\"StreamBufferSettings\":{\"StreamBufferCount\":3,\"CtrlStreamBufferSizeInMB\":5,\"StreamBufferSizeInMB\":8},\"ErrorBehavior\":{\"FailOnNoTablesCaptured\":true,\"ApplyErrorUpdatePolicy\":\"LOG_ERROR\",\"FailOnTransactionConsistencyBreached\":false,\"RecoverableErrorThrottlingMax\":1800,\"DataErrorEscalationPolicy\":\"SUSPEND_TABLE\",\"ApplyErrorEscalationCount\":0,\"RecoverableErrorStopRetryAfterThrottlingMax\":true,\"RecoverableErrorThrottling\":true,\"ApplyErrorFailOnTruncationDdl\":false,\"DataTruncationErrorPolicy\":\"LOG_ERROR\",\"ApplyErrorInsertPolicy\":\"LOG_ERROR\",\"EventErrorPolicy\":\"IGNORE\",\"ApplyErrorEscalationPolicy\":\"LOG_ERROR\",\"RecoverableErrorCount\":-1,\"DataErrorEscalationCount\":0,\"TableErrorEscalationPolicy\":\"STOP_TASK\",\"RecoverableErrorInterval\":5,\"ApplyErrorDeletePolicy\":\"IGNORE_RECORD\",\"TableErrorEscalationCount\":0,\"FullLoadIgnoreConflicts\":true,\"DataErrorPolicy\":\"LOG_ERROR\",\"TableErrorPolicy\":\"SUSPEND_TABLE\"},\"TTSettings\":{\"TTS3Settings\":null,\"TTRecordSettings\":null,\"EnableTT\":false},\"FullLoadSettings\":{\"CommitRate\":10000,\"StopTaskCachedChangesApplied\":false,\"StopTaskCachedChangesNotApplied\":false,\"MaxFullLoadSubTasks\":8,\"TransactionConsistencyTimeout\":600,\"CreatePkAfterFullLoad\":false,\"TargetTablePrepMode\":\"DO_NOTHING\"},\"TargetMetadata\":{\"ParallelApplyBufferSize\":0,\"ParallelApplyQueuesPerThread\":0,\"ParallelApplyThreads\":0,\"TargetSchema\":\"\",\"InlineLobMaxSize\":0,\"ParallelLoadQueuesPerThread\":0,\"SupportLobs\":true,\"LobChunkSize\":64,\"TaskRecoveryTableEnabled\":false,\"ParallelLoadThreads\":0,\"LobMaxSize\":0,\"BatchApplyEnabled\":false,\"FullLobMode\":true,\"LimitedSizeLobMode\":false,\"LoadMaxFileSize\":0,\"ParallelLoadBufferSize\":0},\"BeforeImageSettings\":null,\"ControlTablesSettings\":{\"historyTimeslotInMinutes\":5,\"HistoryTimeslotInMinutes\":5,\"StatusTableEnabled\":false,\"SuspendedTablesTableEnabled\":false,\"HistoryTableEnabled\":false,\"ControlSchema\":\"\",\"FullLoadExceptionTableEnabled\":false},\"LoopbackPreventionSettings\":null,\"CharacterSetSettings\":null,\"FailTaskWhenCleanTaskResourceFailed\":false,\"ChangeProcessingTuning\":{\"StatementCacheSize\":50,\"CommitTimeout\":1,\"BatchApplyPreserveTransaction\":true,\"BatchApplyTimeoutMin\":1,\"BatchSplitSize\":0,\"BatchApplyTimeoutMax\":30,\"MinTransactionSize\":1000,\"MemoryKeepTime\":60,\"BatchApplyMemoryLimit\":500,\"MemoryLimitTotal\":1024},\"ChangeProcessingDdlHandlingPolicy\":{\"HandleSourceTableDropped\":true,\"HandleSourceTableTruncated\":true,\"HandleSourceTableAltered\":true},\"PostProcessingRules\":null}",
"SourceEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:TZPWV2VCXEGHYOKVKRNHAKJ4Q3RUXACNGFGYWRI",
"TableMappings": "{\"rules\":[{\"rule-type\":\"selection\",\"rule-id\":\"969761702\",\"rule-name\":\"969761702\",\"object-locator\":{\"schema-name\":\"%table\",\"table-name\":\"%example\"},\"rule-action\":\"exclude\",\"filters\":[]}]}",
"TargetEndpointArn": "arn:aws:dms:us-east-1:123456789012:endpoint:ABR8LBOQB3CZY33F7XV253NAJVBNPK6MJQVFVQA"
}
```
# AwsDynamoDBressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsDynamoDB` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsDynamoDbTable
L'`AwsDynamoDbTable`objet fournit des informations sur une table Amazon DynamoDB.
Voici un exemple de `AwsDynamoDbTable` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsDynamoDbTable` attributs, reportez-vous [AwsDynamoDbTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsDynamoDbTableDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsDynamoDbTable": {
"AttributeDefinitions": [
{
"AttributeName": "attribute1",
"AttributeType": "value 1"
},
{
"AttributeName": "attribute2",
"AttributeType": "value 2"
},
{
"AttributeName": "attribute3",
"AttributeType": "value 3"
}
],
"BillingModeSummary": {
"BillingMode": "PAY_PER_REQUEST",
"LastUpdateToPayPerRequestDateTime": "2019-12-03T15:23:10.323Z"
},
"CreationDateTime": "2019-12-03T15:23:10.248Z",
"DeletionProtectionEnabled": true,
"GlobalSecondaryIndexes": [
{
"Backfilling": false,
"IndexArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/index/exampleIndex",
"IndexName": "standardsControlArnIndex",
"IndexSizeBytes": 1862513,
"IndexStatus": "ACTIVE",
"ItemCount": 20,
"KeySchema": [
{
"AttributeName": "City",
"KeyType": "HASH"
},
{
"AttributeName": "Date",
"KeyType": "RANGE"
}
],
"Projection": {
"NonKeyAttributes": ["predictorName"],
"ProjectionType": "ALL"
},
"ProvisionedThroughput": {
"LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
"LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
"NumberOfDecreasesToday": 0,
"ReadCapacityUnits": 100,
"WriteCapacityUnits": 50
},
}
],
"GlobalTableVersion": "V1",
"ItemCount": 2705,
"KeySchema": [
{
"AttributeName": "zipcode",
"KeyType": "HASH"
}
],
"LatestStreamArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/stream/2019-12-03T23:23:10.248",
"LatestStreamLabel": "2019-12-03T23:23:10.248",
"LocalSecondaryIndexes": [
{
"IndexArn": "arn:aws:dynamodb:us-east-1:111122223333:table/exampleGroup/index/exampleId",
"IndexName": "CITY_DATE_INDEX_NAME",
"KeySchema": [
{
"AttributeName": "zipcode",
"KeyType": "HASH"
}
],
"Projection": {
"NonKeyAttributes": ["predictorName"],
"ProjectionType": "ALL"
},
}
],
"ProvisionedThroughput": {
"LastIncreaseDateTime": "2019-03-14T13:21:00.399Z",
"LastDecreaseDateTime": "2019-03-14T12:47:35.193Z",
"NumberOfDecreasesToday": 0,
"ReadCapacityUnits": 100,
"WriteCapacityUnits": 50
},
"Replicas": [
{
"GlobalSecondaryIndexes":[
{
"IndexName": "CITY_DATE_INDEX_NAME",
"ProvisionedThroughputOverride": {
"ReadCapacityUnits": 10
}
}
],
"KmsMasterKeyId" : "KmsKeyId"
"ProvisionedThroughputOverride": {
"ReadCapacityUnits": 10
},
"RegionName": "regionName",
"ReplicaStatus": "CREATING",
"ReplicaStatusDescription": "replicaStatusDescription"
}
],
"RestoreSummary" : {
"SourceBackupArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/backup/backup1",
"SourceTableArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable",
"RestoreDateTime": "2020-06-22T17:40:12.322Z",
"RestoreInProgress": true
},
"SseDescription": {
"InaccessibleEncryptionDateTime": "2018-01-26T23:50:05.000Z",
"Status": "ENABLED",
"SseType": "KMS",
"KmsMasterKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key1"
},
"StreamSpecification" : {
"StreamEnabled": true,
"StreamViewType": "NEW_IMAGE"
},
"TableId": "example-table-id-1",
"TableName": "example-table",
"TableSizeBytes": 1862513,
"TableStatus": "ACTIVE"
}
```
# AwsEc2ressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsEc2` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsEc2ClientVpnEndpoint
L'`AwsEc2ClientVpnEndpoint`objet fournit des informations sur un point de AWS Client VPN terminaison. Un point de terminaison VPN client est la ressource que vous créez et configurez pour activer et gérer les sessions VPN du client. C'est le point de terminaison pour toutes les sessions VPN client.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2ClientVpnEndpoint`objet. Pour consulter les descriptions des `AwsEc2ClientVpnEndpoint` attributs, reportez-vous à la section [AwsEc2 ClientVpnEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2ClientVpnEndpointDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2ClientVpnEndpoint": {
"AuthenticationOptions": [
{
"MutualAuthentication": {
"ClientRootCertificateChainArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Type": "certificate-authentication"
}
],
"ClientCidrBlock": "10.0.0.0/22",
"ClientConnectOptions": {
"Enabled": false
},
"ClientLoginBannerOptions": {
"Enabled": false
},
"ClientVpnEndpointId": "cvpn-endpoint-00c5d11fc4729f2a5",
"ConnectionLogOptions": {
"Enabled": false
},
"Description": "test",
"DnsServer": ["10.0.0.0"],
"ServerCertificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"SecurityGroupIdSet": [
"sg-0f7a177b82b443691"
],
"SelfServicePortalUrl": "https://self-service.clientvpn.amazonaws.com/endpoints/cvpn-endpoint-00c5d11fc4729f2a5",
"SessionTimeoutHours": 24,
"SplitTunnel": false,
"TransportProtocol": "udp",
"VpcId": "vpc-1a2b3c4d5e6f1a2b3",
"VpnPort": 443
}
```
## AwsEc2Eip
L'`AwsEc2Eip`objet fournit des informations sur une adresse IP élastique.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2Eip`objet. Pour consulter les descriptions des `AwsEc2Eip` attributs, reportez-vous à la section [AwsEc2 EipDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2EipDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2Eip": {
"InstanceId": "instance1",
"PublicIp": "192.0.2.04",
"AllocationId": "eipalloc-example-id-1",
"AssociationId": "eipassoc-example-id-1",
"Domain": "vpc",
"PublicIpv4Pool": "anycompany",
"NetworkBorderGroup": "eu-central-1",
"NetworkInterfaceId": "eni-example-id-1",
"NetworkInterfaceOwnerId": "777788889999",
"PrivateIpAddress": "192.0.2.03"
}
```
## AwsEc2Instance
L'`AwsEc2Instance`objet fournit des informations sur une instance Amazon EC2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2Instance`objet. Pour consulter les descriptions des `AwsEc2Instance` attributs, reportez-vous à la section [AwsEc2 InstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2InstanceDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2Instance": {
"IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AdminRole",
"ImageId": "ami-1234",
"IpV4Addresses": [ "1.1.1.1" ],
"IpV6Addresses": [ "2001:db8:1234:1a2b::123" ],
"KeyName": "my_keypair",
"LaunchedAt": "2018-05-08T16:46:19.000Z",
"MetadataOptions": {
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "enabled",
"HttpPutResponseHopLimit": 1,
"HttpTokens": "optional",
"InstanceMetadataTags": "disabled",
},
"Monitoring": {
"State": "disabled"
},
"NetworkInterfaces": [
{
"NetworkInterfaceId": "eni-e5aa89a3"
}
],
"SubnetId": "subnet-123",
"Type": "i3.xlarge",
"VpcId": "vpc-123"
}
```
## AwsEc2LaunchTemplate
L'`AwsEc2LaunchTemplate`objet contient des informations sur un modèle de lancement Amazon Elastic Compute Cloud qui spécifie les informations de configuration de l'instance.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2LaunchTemplate`objet. Pour consulter les descriptions des `AwsEc2LaunchTemplate` attributs, reportez-vous à la section [AwsEc2 LaunchTemplateDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2LaunchTemplateDetals.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2LaunchTemplate": {
"DefaultVersionNumber": "1",
"ElasticGpuSpecifications": ["string"],
"ElasticInferenceAccelerators": ["string"],
"Id": "lt-0a16e9802800bdd85",
"ImageId": "ami-0d5eff06f840b45e9",
"LatestVersionNumber": "1",
"LaunchTemplateData": {
"BlockDeviceMappings": [{
"DeviceName": "/dev/xvda",
"Ebs": {
"DeleteonTermination": true,
"Encrypted": true,
"SnapshotId": "snap-01047646ec075f543",
"VolumeSize": 8,
"VolumeType:" "gp2"
}
}],
"MetadataOptions": {
"HttpTokens": "enabled",
"HttpPutResponseHopLimit" : 1
},
"Monitoring": {
"Enabled": true,
"NetworkInterfaces": [{
"AssociatePublicIpAddress" : true,
}],
"LaunchTemplateName": "string",
"LicenseSpecifications": ["string"],
"SecurityGroupIds": ["sg-01fce87ad6e019725"],
"SecurityGroups": ["string"],
"TagSpecifications": ["string"]
}
```
## AwsEc2NetworkAcl
L'`AwsEc2NetworkAcl`objet contient des informations sur une liste de contrôle d'accès réseau (ACL) Amazon EC2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2NetworkAcl`objet. Pour consulter les descriptions des `AwsEc2NetworkAcl` attributs, reportez-vous à la section [AwsEc2 NetworkAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkAclDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2NetworkAcl": {
"IsDefault": false,
"NetworkAclId": "acl-1234567890abcdef0",
"OwnerId": "123456789012",
"VpcId": "vpc-1234abcd",
"Associations": [{
"NetworkAclAssociationId": "aclassoc-abcd1234",
"NetworkAclId": "acl-021345abcdef6789",
"SubnetId": "subnet-abcd1234"
}],
"Entries": [{
"CidrBlock": "10.24.34.0/23",
"Egress": true,
"IcmpTypeCode": {
"Code": 10,
"Type": 30
},
"Ipv6CidrBlock": "2001:DB8::/32",
"PortRange": {
"From": 20,
"To": 40
},
"Protocol": "tcp",
"RuleAction": "allow",
"RuleNumber": 100
}]
}
```
## AwsEc2NetworkInterface
L'`AwsEc2NetworkInterface`objet fournit des informations sur une interface réseau Amazon EC2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2NetworkInterface`objet. Pour consulter les descriptions des `AwsEc2NetworkInterface` attributs, reportez-vous à la section [AwsEc2 NetworkInterfaceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2NetworkInterfaceDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2NetworkInterface": {
"Attachment": {
"AttachTime": "2019-01-01T03:03:21Z",
"AttachmentId": "eni-attach-43348162",
"DeleteOnTermination": true,
"DeviceIndex": 123,
"InstanceId": "i-1234567890abcdef0",
"InstanceOwnerId": "123456789012",
"Status": 'ATTACHED'
},
"SecurityGroups": [
{
"GroupName": "my-security-group",
"GroupId": "sg-903004f8"
},
],
"NetworkInterfaceId": 'eni-686ea200',
"SourceDestCheck": false
}
```
## AwsEc2RouteTable
L'`AwsEc2RouteTable`objet fournit des informations sur une table de routage Amazon EC2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2RouteTable`objet. Pour consulter les descriptions des `AwsEc2RouteTable` attributs, reportez-vous à la section [AwsEc2 RouteTableDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2RouteTableDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2RouteTable": {
"AssociationSet": [{
"AssociationSet": {
"State": "associated"
},
"Main": true,
"RouteTableAssociationId": "rtbassoc-08e706c45de9f7512",
"RouteTableId": "rtb-0a59bde9cf2548e34",
}],
"PropogatingVgwSet": [],
"RouteTableId": "rtb-0a59bde9cf2548e34",
"RouteSet": [
{
"DestinationCidrBlock": "10.24.34.0/23",
"GatewayId": "local",
"Origin": "CreateRouteTable",
"State": "active"
},
{
"DestinationCidrBlock": "10.24.34.0/24",
"GatewayId": "igw-0242c2d7d513fc5d3",
"Origin": "CreateRoute",
"State": "active"
}
],
"VpcId": "vpc-0c250a5c33f51d456"
}
```
## AwsEc2SecurityGroup
L'`AwsEc2SecurityGroup`objet décrit un groupe de sécurité Amazon EC2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2SecurityGroup`objet. Pour consulter les descriptions des `AwsEc2SecurityGroup` attributs, reportez-vous à la section [AwsEc2 SecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SecurityGroupDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2SecurityGroup": {
"GroupName": "MySecurityGroup",
"GroupId": "sg-903004f8",
"OwnerId": "123456789012",
"VpcId": "vpc-1a2b3c4d",
"IpPermissions": [
{
"IpProtocol": "-1",
"IpRanges": [],
"UserIdGroupPairs": [
{
"UserId": "123456789012",
"GroupId": "sg-903004f8"
}
],
"PrefixListIds": [
{"PrefixListId": "pl-63a5400a"}
]
},
{
"PrefixListIds": [],
"FromPort": 22,
"IpRanges": [
{
"CidrIp": "203.0.113.0/24"
}
],
"ToPort": 22,
"IpProtocol": "tcp",
"UserIdGroupPairs": []
}
]
}
```
## AwsEc2Subnet
L'`AwsEc2Subnet`objet fournit des informations sur un sous-réseau dans Amazon EC2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2Subnet`objet. Pour consulter les descriptions des `AwsEc2Subnet` attributs, reportez-vous à la section [AwsEc2 SubnetDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2SubnetDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
AwsEc2Subnet: {
"AssignIpv6AddressOnCreation": false,
"AvailabilityZone": "us-west-2c",
"AvailabilityZoneId": "usw2-az3",
"AvailableIpAddressCount": 8185,
"CidrBlock": "10.0.0.0/24",
"DefaultForAz": false,
"MapPublicIpOnLaunch": false,
"OwnerId": "123456789012",
"State": "available",
"SubnetArn": "arn:aws:ec2:us-west-2:123456789012:subnet/subnet-d5436c93",
"SubnetId": "subnet-d5436c93",
"VpcId": "vpc-153ade70",
"Ipv6CidrBlockAssociationSet": [{
"AssociationId": "subnet-cidr-assoc-EXAMPLE",
"Ipv6CidrBlock": "2001:DB8::/32",
"CidrBlockState": "associated"
}]
}
```
## AwsEc2TransitGateway
L'`AwsEc2TransitGateway`objet fournit des détails sur une passerelle de transit Amazon EC2 qui interconnecte vos clouds privés virtuels (VPCs) et vos réseaux sur site.
Voici un exemple de `AwsEc2TransitGateway` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsEc2TransitGateway` attributs, reportez-vous à la section [AwsEc2 TransitGatewayDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2TransitGatewayDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2TransitGateway": {
"AmazonSideAsn": 65000,
"AssociationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
"AutoAcceptSharedAttachments": "disable",
"DefaultRouteTableAssociation": "enable",
"DefaultRouteTablePropagation": "enable",
"Description": "sample transit gateway",
"DnsSupport": "enable",
"Id": "tgw-042ae6bf7a5c126c3",
"MulticastSupport": "disable",
"PropagationDefaultRouteTableId": "tgw-rtb-099ba47cbbea837cc",
"TransitGatewayCidrBlocks": ["10.0.0.0/16"],
"VpnEcmpSupport": "enable"
}
```
## AwsEc2Volume
L'`AwsEc2Volume`objet fournit des informations sur un volume Amazon EC2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2Volume`objet. Pour consulter les descriptions des `AwsEc2Volume` attributs, reportez-vous à la section [AwsEc2 VolumeDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VolumeDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2Volume": {
"Attachments": [
{
"AttachTime": "2017-10-17T14:47:11Z",
"DeleteOnTermination": true,
"InstanceId": "i-123abc456def789g",
"Status": "attached"
}
],
"CreateTime": "2020-02-24T15:54:30Z",
"Encrypted": true,
"KmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"Size": 80,
"SnapshotId": "",
"Status": "available"
}
```
## AwsEc2Vpc
L'`AwsEc2Vpc`objet fournit des informations sur un VPC Amazon EC2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2Vpc`objet. Pour consulter les descriptions des `AwsEc2Vpc` attributs, reportez-vous à la section [AwsEc2 VpcDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2Vpc": {
"CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
"CidrBlock": "192.0.2.0/24",
"CidrBlockState": "associated"
}
],
"DhcpOptionsId": "dopt-4e42ce28",
"Ipv6CidrBlockAssociationSet": [
{
"AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97",
"CidrBlockState": "associated",
"Ipv6CidrBlock": "192.0.2.0/24"
}
],
"State": "available"
}
```
## AwsEc2VpcEndpointService
L'`AwsEc2VpcEndpointService`objet contient des détails sur la configuration du service pour un service de point de terminaison VPC.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2VpcEndpointService`objet. Pour consulter les descriptions des `AwsEc2VpcEndpointService` attributs, reportez-vous à la section [AwsEc2 VpcEndpointServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcEndpointServiceDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2VpcEndpointService": {
"ServiceType": [
{
"ServiceType": "Interface"
}
],
"ServiceId": "vpce-svc-example1",
"ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example1",
"ServiceState": "Available",
"AvailabilityZones": [
"us-east-1"
],
"AcceptanceRequired": true,
"ManagesVpcEndpoints": false,
"NetworkLoadBalancerArns": [
"arn:aws:elasticloadbalancing:us-east-1:444455556666:loadbalancer/net/my-network-load-balancer/example1"
],
"GatewayLoadBalancerArns": [],
"BaseEndpointDnsNames": [
"vpce-svc-04eec859668b51c34.us-east-1.vpce.amazonaws.com"
],
"PrivateDnsName": "my-private-dns"
}
```
## AwsEc2VpcPeeringConnection
L'`AwsEc2VpcPeeringConnection`objet fournit des détails sur la connexion réseau entre deux VPCs.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEc2VpcPeeringConnection`objet. Pour consulter les descriptions des `AwsEc2VpcPeeringConnection` attributs, reportez-vous à la section [AwsEc2 VpcPeeringConnectionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEc2VpcPeeringConnectionDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEc2VpcPeeringConnection": {
"AccepterVpcInfo": {
"CidrBlock": "10.0.0.0/28",
"CidrBlockSet": [{
"CidrBlock": "10.0.0.0/28"
}],
"Ipv6CidrBlockSet": [{
"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
}],
"OwnerId": "012345678910",
"PeeringOptions": {
"AllowDnsResolutionFromRemoteVpc": true,
"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
"AllowEgressFromLocalVpcToRemoteClassicLink": true
},
"Region": "us-west-2",
"VpcId": "vpc-i123456"
},
"ExpirationTime": "2022-02-18T15:31:53.161Z",
"RequesterVpcInfo": {
"CidrBlock": "192.168.0.0/28",
"CidrBlockSet": [{
"CidrBlock": "192.168.0.0/28"
}],
"Ipv6CidrBlockSet": [{
"Ipv6CidrBlock": "2002::1234:abcd:ffff:c0a8:101/64"
}],
"OwnerId": "012345678910",
"PeeringOptions": {
"AllowDnsResolutionFromRemoteVpc": true,
"AllowEgressFromLocalClassicLinkToRemoteVpc": false,
"AllowEgressFromLocalVpcToRemoteClassicLink": true
},
"Region": "us-west-2",
"VpcId": "vpc-i123456"
},
"Status": {
"Code": "initiating-request",
"Message": "Active"
},
"VpcPeeringConnectionId": "pcx-1a2b3c4d"
}
```
# AwsEcrressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsEcr` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsEcrContainerImage
L'`AwsEcrContainerImage`objet fournit des informations sur une image Amazon ECR.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEcrContainerImage`objet. Pour consulter les descriptions des `AwsEcrContainerImage` attributs, reportez-vous [AwsEcrContainerImageDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrContainerImageDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEcrContainerImage": {
"RegistryId": "123456789012",
"RepositoryName": "repository-name",
"Architecture": "amd64"
"ImageDigest": "sha256:a568e5c7a953fbeaa2904ac83401f93e4a076972dc1bae527832f5349cd2fb10",
"ImageTags": ["00000000-0000-0000-0000-000000000000"],
"ImagePublishedAt": "2019-10-01T20:06:12Z"
}
```
## AwsEcrRepository
L'`AwsEcrRepository`objet fournit des informations sur un référentiel Amazon Elastic Container Registry.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEcrRepository`objet. Pour consulter les descriptions des `AwsEcrRepository` attributs, reportez-vous [AwsEcrRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcrRepositoryDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEcrRepository": {
"LifecyclePolicy": {
"RegistryId": "123456789012",
},
"RepositoryName": "sample-repo",
"Arn": "arn:aws:ecr:us-west-2:111122223333:repository/sample-repo",
"ImageScanningConfiguration": {
"ScanOnPush": true
},
"ImageTagMutability": "IMMUTABLE"
}
```
# AwsEcsressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsEcs` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsEcsCluster
L'`AwsEcsCluster`objet fournit des informations sur un cluster Amazon Elastic Container Service.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEcsCluster`objet. Pour consulter les descriptions des `AwsEcsCluster` attributs, reportez-vous [AwsEcsClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsClusterDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEcsCluster": {
"CapacityProviders": [],
"ClusterSettings": [
{
"Name": "containerInsights",
"Value": "enabled"
}
],
"Configuration": {
"ExecuteCommandConfiguration": {
"KmsKeyId": "kmsKeyId",
"LogConfiguration": {
"CloudWatchEncryptionEnabled": true,
"CloudWatchLogGroupName": "cloudWatchLogGroupName",
"S3BucketName": "s3BucketName",
"S3EncryptionEnabled": true,
"S3KeyPrefix": "s3KeyPrefix"
},
"Logging": "DEFAULT"
}
}
"DefaultCapacityProviderStrategy": [
{
"Base": 0,
"CapacityProvider": "capacityProvider",
"Weight": 1
}
]
}
```
## AwsEcsContainer
L'`AwsEcsContainer`objet contient des informations sur un conteneur Amazon ECS.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEcsContainer`objet. Pour consulter les descriptions des `AwsEcsContainer` attributs, reportez-vous [AwsEcsContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsContainerDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEcsContainer": {
"Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
"MountPoints": [{
"ContainerPath": "/mnt/etc",
"SourceVolume": "vol-03909e9"
}],
"Name": "knote",
"Privileged": true
}
```
## AwsEcsService
L'`AwsEcsService`objet fournit des détails sur un service au sein d'un cluster Amazon ECS.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEcsService`objet. Pour consulter les descriptions des `AwsEcsService` attributs, reportez-vous [AwsEcsServiceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsServiceDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEcsService": {
"CapacityProviderStrategy": [
{
"Base": 12,
"CapacityProvider": "",
"Weight": ""
}
],
"Cluster": "arn:aws:ecs:us-east-1:111122223333:cluster/example-ecs-cluster",
"DeploymentConfiguration": {
"DeploymentCircuitBreaker": {
"Enable": false,
"Rollback": false
},
"MaximumPercent": 200,
"MinimumHealthyPercent": 100
},
"DeploymentController": "",
"DesiredCount": 1,
"EnableEcsManagedTags": false,
"EnableExecuteCommand": false,
"HealthCheckGracePeriodSeconds": 1,
"LaunchType": "FARGATE",
"LoadBalancers": [
{
"ContainerName": "",
"ContainerPort": 23,
"LoadBalancerName": "",
"TargetGroupArn": ""
}
],
"Name": "sample-app-service",
"NetworkConfiguration": {
"AwsVpcConfiguration": {
"Subnets": [
"Subnet-example1",
"Subnet-example2"
],
"SecurityGroups": [
"Sg-0ce48e9a6e5b457f5"
],
"AssignPublicIp": "ENABLED"
}
},
"PlacementConstraints": [
{
"Expression": "",
"Type": ""
}
],
"PlacementStrategies": [
{
"Field": "",
"Type": ""
}
],
"PlatformVersion": "LATEST",
"PropagateTags": "",
"Role": "arn:aws:iam::111122223333:role/aws-servicerole/ecs.amazonaws.com/ServiceRoleForECS",
"SchedulingStrategy": "REPLICA",
"ServiceName": "sample-app-service",
"ServiceArn": "arn:aws:ecs:us-east-1:111122223333:service/example-ecs-cluster/sample-app-service",
"ServiceRegistries": [
{
"ContainerName": "",
"ContainerPort": 1212,
"Port": 1221,
"RegistryArn": ""
}
],
"TaskDefinition": "arn:aws:ecs:us-east-1:111122223333:task-definition/example-taskdef:1"
}
```
## AwsEcsTask
L'`AwsEcsTask`objet fournit des détails sur une tâche Amazon ECS.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEcsTask`objet. Pour consulter les descriptions des `AwsEcsTask` attributs, reportez-vous [AwsEcsTask](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEcsTask": {
"ClusterArn": "arn:aws:ecs:us-west-2:123456789012:task/MyCluster/1234567890123456789",
"CreatedAt": "1557134011644",
"Group": "service:fargate-service",
"StartedAt": "1557134011644",
"StartedBy": "ecs-svc/1234567890123456789",
"TaskDefinitionArn": "arn:aws:ecs:us-west-2:123456789012:task-definition/sample-fargate:2",
"Version": 3,
"Volumes": [{
"Name": "string",
"Host": {
"SourcePath": "string"
}
}],
"Containers": {
"Image": "1111111/knotejs@sha256:356131c9fef111111111111115f4ed8de5f9dce4dc3bd34bg21846588a3",
"MountPoints": [{
"ContainerPath": "/mnt/etc",
"SourceVolume": "vol-03909e9"
}],
"Name": "knote",
"Privileged": true
}
}
```
## AwsEcsTaskDefinition
L'`AwsEcsTaskDefinition`objet contient des détails sur la définition d'une tâche. Une définition de tâche décrit les définitions de conteneur et de volume d'une tâche Amazon Elastic Container Service.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEcsTaskDefinition`objet. Pour consulter les descriptions des `AwsEcsTaskDefinition` attributs, reportez-vous [AwsEcsTaskDefinitionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEcsTaskDefinitionDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEcsTaskDefinition": {
"ContainerDefinitions": [
{
"Command": ['ruby', 'hi.rb'],
"Cpu":128,
"Essential": true,
"HealthCheck": {
"Command": ["CMD-SHELL", "curl -f http://localhost/ || exit 1"],
"Interval": 10,
"Retries": 3,
"StartPeriod": 5,
"Timeout": 20
},
"Image": "tongueroo/sinatra:latest",
"Interactive": true,
"Links": [],
"LogConfiguration": {
"LogDriver": "awslogs",
"Options": {
"awslogs-group": "/ecs/sinatra-hi",
"awslogs-region": "ap-southeast-1",
"awslogs-stream-prefix": "ecs"
},
"SecretOptions": []
},
"MemoryReservation": 128,
"Name": "web",
"PortMappings": [
{
"ContainerPort": 4567,
"HostPort":4567,
"Protocol": "tcp"
}
],
"Privileged": true,
"StartTimeout": 10,
"StopTimeout": 100,
}
],
"Family": "sinatra-hi",
"NetworkMode": "host",
"RequiresCompatibilities": ["EC2"],
"Status": "ACTIVE",
"TaskRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole",
}
```
# AwsEfsressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsEfs` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsEfsAccessPoint
L'`AwsEfsAccessPoint`objet fournit des informations sur les fichiers stockés dans Amazon Elastic File System.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEfsAccessPoint`objet. Pour consulter les descriptions des `AwsEfsAccessPoint` attributs, reportez-vous [AwsEfsAccessPointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEfsAccessPointDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEfsAccessPoint": {
"AccessPointId": "fsap-05c4c0e79ba0b118a",
"Arn": "arn:aws:elasticfilesystem:us-east-1:863155670886:access-point/fsap-05c4c0e79ba0b118a",
"ClientToken": "AccessPointCompliant-ASk06ZZSXsEp",
"FileSystemId": "fs-0f8137f731cb32146",
"PosixUser": {
"Gid": "1000",
"SecondaryGids": ["0", "4294967295"],
"Uid": "1234"
},
"RootDirectory": {
"CreationInfo": {
"OwnerGid": "1000",
"OwnerUid": "1234",
"Permissions": "777"
},
"Path": "/tmp/example"
}
}
```
# AwsEksressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsEks` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsEksCluster
L'`AwsEksCluster`objet fournit des informations sur un cluster Amazon EKS.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEksCluster`objet. Pour consulter les descriptions des `AwsEksCluster` attributs, reportez-vous [AwsEksClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEksClusterDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
{
"AwsEksCluster": {
"Name": "example",
"Arn": "arn:aws:eks:us-west-2:222222222222:cluster/example",
"CreatedAt": 1565804921.901,
"Version": "1.12",
"RoleArn": "arn:aws:iam::222222222222:role/example-cluster-ServiceRole-1XWBQWYSFRE2Q",
"ResourcesVpcConfig": {
"EndpointPublicAccess": false,
"SubnetIds": [
"subnet-021345abcdef6789",
"subnet-abcdef01234567890",
"subnet-1234567890abcdef0"
],
"SecurityGroupIds": [
"sg-abcdef01234567890"
]
},
"Logging": {
"ClusterLogging": [
{
"Types": [
"api",
"audit",
"authenticator",
"controllerManager",
"scheduler"
],
"Enabled": true
}
]
},
"Status": "CREATING",
"CertificateAuthorityData": {},
}
}
```
# AwsElasticBeanstalkressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsElasticBeanstalk` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsElasticBeanstalkEnvironment
L'`AwsElasticBeanstalkEnvironment`objet contient des informations sur un AWS Elastic Beanstalk environnement.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsElasticBeanstalkEnvironment`objet. Pour consulter les descriptions des `AwsElasticBeanstalkEnvironment` attributs, reportez-vous [AwsElasticBeanstalkEnvironmentDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticBeanstalkEnvironmentDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsElasticBeanstalkEnvironment": {
"ApplicationName": "MyApplication",
"Cname": "myexampleapp-env.devo-2.elasticbeanstalk-internal.com",
"DateCreated": "2021-04-30T01:38:01.090Z",
"DateUpdated": "2021-04-30T01:38:01.090Z",
"Description": "Example description of my awesome application",
"EndpointUrl": "eb-dv-e-p-AWSEBLoa-abcdef01234567890-021345abcdef6789.us-east-1.elb.amazonaws.com",
"EnvironmentArn": "arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/MyApplication/myapplication-env",
"EnvironmentId": "e-abcd1234",
"EnvironmentLinks": [
{
"EnvironmentName": "myexampleapp-env",
"LinkName": "myapplicationLink"
}
],
"EnvironmentName": "myapplication-env",
"OptionSettings": [
{
"Namespace": "aws:elasticbeanstalk:command",
"OptionName": "BatchSize",
"Value": "100"
},
{
"Namespace": "aws:elasticbeanstalk:command",
"OptionName": "Timeout",
"Value": "600"
},
{
"Namespace": "aws:elasticbeanstalk:command",
"OptionName": "BatchSizeType",
"Value": "Percentage"
},
{
"Namespace": "aws:elasticbeanstalk:command",
"OptionName": "IgnoreHealthCheck",
"Value": "false"
},
{
"Namespace": "aws:elasticbeanstalk:application",
"OptionName": "Application Healthcheck URL",
"Value": "TCP:80"
}
],
"PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Tomcat 8 with Java 8 running on 64bit Amazon Linux/2.7.7",
"SolutionStackName": "64bit Amazon Linux 2017.09 v2.7.7 running Tomcat 8 Java 8",
"Status": "Ready",
"Tier": {
"Name": "WebServer"
"Type": "Standard"
"Version": "1.0"
},
"VersionLabel": "Sample Application"
}
```
# AwsElasticSearchressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsElasticSearch` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsElasticSearchDomain
L'`AwsElasticSearchDomain`objet fournit des informations sur un domaine Amazon OpenSearch Service.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsElasticSearchDomain`objet. Pour consulter les descriptions des `AwsElasticSearchDomain` attributs, reportez-vous [AwsElasticSearchDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElasticsearchDomainDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsElasticSearchDomain": {
"AccessPolicies": "string",
"DomainStatus": {
"DomainId": "string",
"DomainName": "string",
"Endpoint": "string",
"Endpoints": {
"string": "string"
}
},
"DomainEndpointOptions": {
"EnforceHTTPS": boolean,
"TLSSecurityPolicy": "string"
},
"ElasticsearchClusterConfig": {
"DedicatedMasterCount": number,
"DedicatedMasterEnabled": boolean,
"DedicatedMasterType": "string",
"InstanceCount": number,
"InstanceType": "string",
"ZoneAwarenessConfig": {
"AvailabilityZoneCount": number
},
"ZoneAwarenessEnabled": boolean
},
"ElasticsearchVersion": "string",
"EncryptionAtRestOptions": {
"Enabled": boolean,
"KmsKeyId": "string"
},
"LogPublishingOptions": {
"AuditLogs": {
"CloudWatchLogsLogGroupArn": "string",
"Enabled": boolean
},
"IndexSlowLogs": {
"CloudWatchLogsLogGroupArn": "string",
"Enabled": boolean
},
"SearchSlowLogs": {
"CloudWatchLogsLogGroupArn": "string",
"Enabled": boolean
}
},
"NodeToNodeEncryptionOptions": {
"Enabled": boolean
},
"ServiceSoftwareOptions": {
"AutomatedUpdateDate": "string",
"Cancellable": boolean,
"CurrentVersion": "string",
"Description": "string",
"NewVersion": "string",
"UpdateAvailable": boolean,
"UpdateStatus": "string"
},
"VPCOptions": {
"AvailabilityZones": [
"string"
],
"SecurityGroupIds": [
"string"
],
"SubnetIds": [
"string"
],
"VPCId": "string"
}
}
```
# AwsElbressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsElb` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsElbLoadBalancer
L'`AwsElbLoadBalancer`objet contient des informations sur un Classic Load Balancer.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsElbLoadBalancer`objet. Pour consulter les descriptions des `AwsElbLoadBalancer` attributs, reportez-vous [AwsElbLoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbLoadBalancerDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsElbLoadBalancer": {
"AvailabilityZones": ["us-west-2a"],
"BackendServerDescriptions": [
{
"InstancePort": 80,
"PolicyNames": ["doc-example-policy"]
}
],
"CanonicalHostedZoneName": "Z3DZXE0EXAMPLE",
"CanonicalHostedZoneNameID": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
"CreatedTime": "2020-08-03T19:22:44.637Z",
"DnsName": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com",
"HealthCheck": {
"HealthyThreshold": 2,
"Interval": 30,
"Target": "HTTP:80/png",
"Timeout": 3,
"UnhealthyThreshold": 2
},
"Instances": [
{
"InstanceId": "i-example"
}
],
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 443,
"InstanceProtocol": "HTTPS",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"SslCertificateId": "arn:aws:iam::444455556666:server-certificate/my-server-cert"
},
"PolicyNames": ["ELBSecurityPolicy-TLS-1-2-2017-01"]
}
],
"LoadBalancerAttributes": {
"AccessLog": {
"EmitInterval": 60,
"Enabled": true,
"S3BucketName": "amzn-s3-demo-bucket",
"S3BucketPrefix": "doc-example-prefix"
},
"ConnectionDraining": {
"Enabled": false,
"Timeout": 300
},
"ConnectionSettings": {
"IdleTimeout": 30
},
"CrossZoneLoadBalancing": {
"Enabled": true
},
"AdditionalAttributes": [{
"Key": "elb.http.desyncmitigationmode",
"Value": "strictest"
}]
},
"LoadBalancerName": "example-load-balancer",
"Policies": {
"AppCookieStickinessPolicies": [
{
"CookieName": "",
"PolicyName": ""
}
],
"LbCookieStickinessPolicies": [
{
"CookieExpirationPeriod": 60,
"PolicyName": "my-example-cookie-policy"
}
],
"OtherPolicies": [
"my-PublicKey-policy",
"my-authentication-policy",
"my-SSLNegotiation-policy",
"my-ProxyProtocol-policy",
"ELBSecurityPolicy-2015-03"
]
},
"Scheme": "internet-facing",
"SecurityGroups": ["sg-example"],
"SourceSecurityGroup": {
"GroupName": "my-elb-example-group",
"OwnerAlias": "444455556666"
},
"Subnets": ["subnet-example"],
"VpcId": "vpc-a01106c2"
}
```
## AwsElbv2LoadBalancer
L'objet `AwsElbv2LoadBalancer` fournit des informations sur un équilibreur de charge.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsElbv2LoadBalancer`objet. Pour consulter les descriptions des `AwsElbv2LoadBalancer` attributs, reportez-vous à la section [AwsElbv2 LoadBalancerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsElbv2LoadBalancerDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsElbv2LoadBalancer": {
"AvailabilityZones": {
"SubnetId": "string",
"ZoneName": "string"
},
"CanonicalHostedZoneId": "string",
"CreatedTime": "string",
"DNSName": "string",
"IpAddressType": "string",
"LoadBalancerAttributes": [
{
"Key": "string",
"Value": "string"
}
],
"Scheme": "string",
"SecurityGroups": [ "string" ],
"State": {
"Code": "string",
"Reason": "string"
},
"Type": "string",
"VpcId": "string"
}
```
# AwsEventBridgeressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsEventBridge` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsEventSchemasRegistry
L'`AwsEventSchemasRegistry`objet fournit des informations sur un registre de EventBridge schémas Amazon. Un schéma définit la structure des événements envoyés à EventBridge. Les registres de schémas sont des conteneurs qui collectent et regroupent logiquement vos schémas.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEventSchemasRegistry`objet. Pour consulter les descriptions des `AwsEventSchemasRegistry` attributs, reportez-vous [AwsEventSchemasRegistry](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventSchemasRegistryDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEventSchemasRegistry": {
"Description": "This is an example event schema registry.",
"RegistryArn": "arn:aws:schemas:us-east-1:123456789012:registry/schema-registry",
"RegistryName": "schema-registry"
}
```
## AwsEventsEndpoint
L'`AwsEventsEndpoint`objet fournit des informations sur un point de terminaison EventBridge global Amazon. Le point de terminaison peut améliorer la disponibilité de votre application en la rendant tolérante aux pannes régionales.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEventsEndpoint`objet. Pour consulter les descriptions des `AwsEventsEndpoint` attributs, reportez-vous [AwsEventsEndpointDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEndpointDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEventsEndpoint": {
"Arn": "arn:aws:events:us-east-1:123456789012:endpoint/my-endpoint",
"Description": "This is a sample endpoint.",
"EndpointId": "04k1exajoy.veo",
"EndpointUrl": "https://04k1exajoy.veo.endpoint.events.amazonaws.com",
"EventBuses": [
{
"EventBusArn": "arn:aws:events:us-east-1:123456789012:event-bus/default"
},
{
"EventBusArn": "arn:aws:events:us-east-2:123456789012:event-bus/default"
}
],
"Name": "my-endpoint",
"ReplicationConfig": {
"State": "ENABLED"
},
"RoleArn": "arn:aws:iam::123456789012:role/service-role/Amazon_EventBridge_Invoke_Event_Bus_1258925394",
"RoutingConfig": {
"FailoverConfig": {
"Primary": {
"HealthCheck": "arn:aws:route53:::healthcheck/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Secondary": {
"Route": "us-east-2"
}
}
},
"State": "ACTIVE"
}
```
## AwsEventsEventbus
L'`AwsEventsEventbus`objet fournit des informations sur un point de terminaison EventBridge global Amazon. Le point de terminaison peut améliorer la disponibilité de votre application en la rendant tolérante aux pannes régionales.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsEventsEventbus`objet. Pour consulter les descriptions des `AwsEventsEventbus` attributs, reportez-vous [AwsEventsEventbusDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsEventsEventbusDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsEventsEventbus":
"Arn": "arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus",
"Name": "my-event-bus",
"Policy": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"AllowAllAccountsFromOrganizationToPutEvents\",\"Effect\":\"Allow\",\"Principal\":\"*\",\"Action\":\"events:PutEvents\",\"Resource\":\"arn:aws:events:us-east-1:123456789012:event-bus/my-event-bus\",\"Condition\":{\"StringEquals\":{\"aws:PrincipalOrgID\":\"o-ki7yjtkjv5\"}}},{\"Sid\":\"AllowAccountToManageRulesTheyCreated\",\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":[\"events:PutRule\",\"events:PutTargets\",\"events:DeleteRule\",\"events:RemoveTargets\",\"events:DisableRule\",\"events:EnableRule\",\"events:TagResource\",\"events:UntagResource\",\"events:DescribeRule\",\"events:ListTargetsByRule\",\"events:ListTagsForResource\"],\"Resource\":\"arn:aws:events:us-east-1:123456789012:rule/my-event-bus\",\"Condition\":{\"StringEqualsIfExists\":{\"events:creatorAccount\":\"123456789012\"}}}]}"
```
# AwsGuardDutyressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsGuardDuty` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsGuardDutyDetector
L'`AwsGuardDutyDetector`objet fournit des informations sur un GuardDuty détecteur Amazon. Un détecteur est un objet qui représente le GuardDuty service. Un détecteur est nécessaire GuardDuty pour être opérationnel.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsGuardDutyDetector`objet. Pour consulter les descriptions des `AwsGuardDutyDetector` attributs, reportez-vous [AwsGuardDutyDetector](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsGuardDutyDetectorDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsGuardDutyDetector": {
"FindingPublishingFrequency": "SIX_HOURS",
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Status": "ENABLED",
"DataSources": {
"CloudTrail": {
"Status": "ENABLED"
},
"DnsLogs": {
"Status": "ENABLED"
},
"FlowLogs": {
"Status": "ENABLED"
},
"S3Logs": {
"Status": "ENABLED"
},
"Kubernetes": {
"AuditLogs": {
"Status": "ENABLED"
}
},
"MalwareProtection": {
"ScanEc2InstanceWithFindings": {
"EbsVolumes": {
"Status": "ENABLED"
}
},
"ServiceRole": "arn:aws:iam::123456789012:role/aws-service-role/malware-protection.guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
}
}
```
# AwsIamressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsIam` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsIamAccessKey
L'`AwsIamAccessKey`objet contient des détails sur une clé d'accès IAM associée à une découverte.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsIamAccessKey`objet. Pour consulter les descriptions des `AwsIamAccessKey` attributs, reportez-vous [AwsIamAccessKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamAccessKeyDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsIamAccessKey": {
"AccessKeyId": "string",
"AccountId": "string",
"CreatedAt": "string",
"PrincipalId": "string",
"PrincipalName": "string",
"PrincipalType": "string",
"SessionContext": {
"Attributes": {
"CreationDate": "string",
"MfaAuthenticated": boolean
},
"SessionIssuer": {
"AccountId": "string",
"Arn": "string",
"PrincipalId": "string",
"Type": "string",
"UserName": "string"
}
},
"Status": "string"
}
```
## AwsIamGroup
L'`AwsIamGroup`objet contient des informations sur un groupe IAM.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsIamGroup`objet. Pour consulter les descriptions des `AwsIamGroup` attributs, reportez-vous [AwsIamGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamGroupDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsIamGroup": {
"AttachedManagedPolicies": [
{
"PolicyArn": "arn:aws:iam::aws:policy/ExampleManagedAccess",
"PolicyName": "ExampleManagedAccess",
}
],
"CreateDate": "2020-04-28T14:08:37.000Z",
"GroupId": "AGPA4TPS3VLP7QEXAMPLE",
"GroupName": "Example_User_Group",
"GroupPolicyList": [
{
"PolicyName": "ExampleGroupPolicy"
}
],
"Path": "/"
}
```
## AwsIamPolicy
L'`AwsIamPolicy`objet représente une politique d'autorisations IAM.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsIamPolicy`objet. Pour consulter les descriptions des `AwsIamPolicy` attributs, reportez-vous [AwsIamPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamPolicyDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsIamPolicy": {
"AttachmentCount": 1,
"CreateDate": "2017-09-14T08:17:29.000Z",
"DefaultVersionId": "v1",
"Description": "Example IAM policy",
"IsAttachable": true,
"Path": "/",
"PermissionsBoundaryUsageCount": 5,
"PolicyId": "ANPAJ2UCCR6DPCEXAMPLE",
"PolicyName": "EXAMPLE-MANAGED-POLICY",
"PolicyVersionList": [
{
"VersionId": "v1",
"IsDefaultVersion": true,
"CreateDate": "2017-09-14T08:17:29.000Z"
}
],
"UpdateDate": "2017-09-14T08:17:29.000Z"
}
```
## AwsIamRole
L'`AwsIamRole`objet contient des informations sur un rôle IAM, y compris toutes les politiques du rôle.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsIamRole`objet. Pour consulter les descriptions des `AwsIamRole` attributs, reportez-vous [AwsIamRoleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamRoleDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsIamRole": {
"AssumeRolePolicyDocument": "{'Version': '2012-10-17', 'Statement': [{'Effect': 'Allow','Action': 'sts:AssumeRole'}]}",
"AttachedManagedPolicies": [
{
"PolicyArn": "arn:aws:iam::aws:policy/ExamplePolicy1",
"PolicyName": "Example policy 1"
},
{
"PolicyArn": "arn:aws:iam::444455556666:policy/ExamplePolicy2",
"PolicyName": "Example policy 2"
}
],
"CreateDate": "2020-03-14T07:19:14.000Z",
"InstanceProfileList": [
{
"Arn": "arn:aws:iam::333333333333:ExampleProfile",
"CreateDate": "2020-03-11T00:02:27Z",
"InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE",
"InstanceProfileName": "ExampleInstanceProfile",
"Path": "/",
"Roles": [
{
"Arn": "arn:aws:iam::444455556666:role/example-role",
"AssumeRolePolicyDocument": "",
"CreateDate": "2020-03-11T00:02:27Z",
"Path": "/",
"RoleId": "AROAJ52OTH4H7LEXAMPLE",
"RoleName": "example-role",
}
]
}
],
"MaxSessionDuration": 3600,
"Path": "/",
"PermissionsBoundary": {
"PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AdministratorAccess",
"PermissionsBoundaryType": "PermissionsBoundaryPolicy"
},
"RoleId": "AROA4TPS3VLEXAMPLE",
"RoleName": "BONESBootstrapHydra-OverbridgeOpsFunctionsLambda",
"RolePolicyList": [
{
"PolicyName": "Example role policy"
}
]
}
```
## AwsIamUser
L'`AwsIamUser`objet fournit des informations sur un utilisateur.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsIamUser`objet. Pour consulter les descriptions des `AwsIamUser` attributs, reportez-vous [AwsIamUserDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsIamUserDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsIamUser": {
"AttachedManagedPolicies": [
{
"PolicyName": "ExamplePolicy",
"PolicyArn": "arn:aws:iam::aws:policy/ExampleAccess"
}
],
"CreateDate": "2018-01-26T23:50:05.000Z",
"GroupList": [],
"Path": "/",
"PermissionsBoundary" : {
"PermissionsBoundaryArn" : "arn:aws:iam::aws:policy/AdministratorAccess",
"PermissionsBoundaryType" : "PermissionsBoundaryPolicy"
},
"UserId": "AIDACKCEVSQ6C2EXAMPLE",
"UserName": "ExampleUser",
"UserPolicyList": [
{
"PolicyName": "InstancePolicy"
}
]
}
```
# AwsKinesisressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsKinesis` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsKinesisStream
L'`AwsKinesisStream`objet fournit des informations sur Amazon Kinesis Data Streams.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsKinesisStream`objet. Pour consulter les descriptions des `AwsKinesisStream` attributs, reportez-vous [AwsKinesisStreamDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKinesisStreamDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsKinesisStream": {
"Name": "test-vir-kinesis-stream",
"Arn": "arn:aws:kinesis:us-east-1:293279581038:stream/test-vir-kinesis-stream",
"RetentionPeriodHours": 24,
"ShardCount": 2,
"StreamEncryption": {
"EncryptionType": "KMS",
"KeyId": "arn:aws:kms:us-east-1:293279581038:key/849cf029-4143-4c59-91f8-ea76007247eb"
}
}
```
# AwsKmsressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsKms` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsKmsKey
L'`AwsKmsKey`objet fournit des détails sur un AWS KMS key.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsKmsKey`objet. Pour consulter les descriptions des `AwsKmsKey` attributs, reportez-vous [AwsKmsKeyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsKmsKeyDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsKmsKey": {
"AWSAccountId": "string",
"CreationDate": "string",
"Description": "string",
"KeyId": "string",
"KeyManager": "string",
"KeyRotationStatus": boolean,
"KeyState": "string",
"Origin": "string"
}
```
# AwsLambda
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsLambda` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsLambdaFunction
L'`AwsLambdaFunction`objet fournit des détails sur la configuration d'une fonction Lambda.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsLambdaFunction`objet. Pour consulter les descriptions des `AwsLambdaFunction` attributs, reportez-vous [AwsLambdaFunctionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaFunctionDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsLambdaFunction": {
"Architectures": [
"x86_64"
],
"Code": {
"S3Bucket": "amzn-s3-demo-bucket",
"S3Key": "samplekey",
"S3ObjectVersion": "2",
"ZipFile": "myzip.zip"
},
"CodeSha256": "1111111111111abcdef",
"DeadLetterConfig": {
"TargetArn": "arn:aws:lambda:us-east-2:123456789012:queue:myqueue:2"
},
"Environment": {
"Variables": {
"Stage": "foobar"
},
"Error": {
"ErrorCode": "Sample-error-code",
"Message": "Caller principal is a manager."
}
},
"FunctionName": "CheckOut",
"Handler": "main.py:lambda_handler",
"KmsKeyArn": "arn:aws:kms:us-west-2:123456789012:key/mykey",
"LastModified": "2001-09-11T09:00:00Z",
"Layers": {
"Arn": "arn:aws:lambda:us-east-2:123456789012:layer:my-layer:3",
"CodeSize": 169
},
"PackageType": "Zip",
"RevisionId": "23",
"Role": "arn:aws:iam::123456789012:role/Accounting-Role",
"Runtime": "go1.7",
"Timeout": 15,
"TracingConfig": {
"Mode": "Active"
},
"Version": "$LATEST$",
"VpcConfig": {
"SecurityGroupIds": ["sg-085912345678492fb", "sg-08591234567bdgdc"],
"SubnetIds": ["subnet-071f712345678e7c8", "subnet-07fd123456788a036"]
},
"MasterArn": "arn:aws:lambda:us-east-2:123456789012:\$LATEST",
"MemorySize": 2048
}
```
## AwsLambdaLayerVersion
L'`AwsLambdaLayerVersion`objet fournit des détails sur une version de couche Lambda.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsLambdaLayerVersion`objet. Pour consulter les descriptions des `AwsLambdaLayerVersion` attributs, reportez-vous [AwsLambdaLayerVersionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsLambdaLayerVersionDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsLambdaLayerVersion": {
"Version": 2,
"CompatibleRuntimes": [
"java8"
],
"CreatedDate": "2019-10-09T22:02:00.274+0000"
}
```
# AwsMskressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsMsk` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsMskCluster
L'`AwsMskCluster`objet fournit des informations sur un cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK).
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsMskCluster`objet. Pour consulter les descriptions des `AwsMskCluster` attributs, reportez-vous [AwsMskClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsMskClusterDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsMskCluster": {
"ClusterInfo": {
"ClientAuthentication": {
"Sasl": {
"Scram": {
"Enabled": true
},
"Iam": {
"Enabled": true
}
},
"Tls": {
"CertificateAuthorityArnList": [],
"Enabled": false
},
"Unauthenticated": {
"Enabled": false
}
},
"ClusterName": "my-cluster",
"CurrentVersion": "K2PWKAKR8XB7XF",
"EncryptionInfo": {
"EncryptionAtRest": {
"DataVolumeKMSKeyId": "arn:aws:kms:us-east-1:123456789012:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"EncryptionInTransit": {
"ClientBroker": "TLS",
"InCluster": true
}
},
"EnhancedMonitoring": "PER_TOPIC_PER_BROKER",
"NumberOfBrokerNodes": 3
}
}
```
# AwsNetworkFirewallressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsNetworkFirewall` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsNetworkFirewallFirewall
L'`AwsNetworkFirewallFirewall`objet contient des informations sur un AWS Network Firewall pare-feu.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsNetworkFirewallFirewall`objet. Pour consulter les descriptions des `AwsNetworkFirewallFirewall` attributs, reportez-vous [AwsNetworkFirewallFirewallDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsNetworkFirewallFirewall": {
"DeleteProtection": false,
"FirewallArn": "arn:aws:network-firewall:us-east-1:024665936331:firewall/testfirewall",
"FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
"FirewallId": "dea7d8e9-ae38-4a8a-b022-672a830a99fa",
"FirewallName": "testfirewall",
"FirewallPolicyChangeProtection": false,
"SubnetChangeProtection": false,
"SubnetMappings": [
{
"SubnetId": "subnet-0183481095e588cdc"
},
{
"SubnetId": "subnet-01f518fad1b1c90b0"
}
],
"VpcId": "vpc-40e83c38"
}
```
## AwsNetworkFirewallFirewallPolicy
L'`AwsNetworkFirewallFirewallPolicy`objet fournit des détails sur une politique de pare-feu. Une politique de pare-feu définit le comportement d'un pare-feu réseau.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsNetworkFirewallFirewallPolicy`objet. Pour consulter les descriptions des `AwsNetworkFirewallFirewallPolicy` attributs, reportez-vous [AwsNetworkFirewallFirewallPolicyDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallFirewallPolicyDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsNetworkFirewallFirewallPolicy": {
"FirewallPolicy": {
"StatefulRuleGroupReferences": [
{
"ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/PatchesOnly"
}
],
"StatelessDefaultActions": [ "aws:forward_to_sfe" ],
"StatelessFragmentDefaultActions": [ "aws:forward_to_sfe" ],
"StatelessRuleGroupReferences": [
{
"Priority": 1,
"ResourceArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1"
}
]
},
"FirewallPolicyArn": "arn:aws:network-firewall:us-east-1:444455556666:firewall-policy/InitialFirewall",
"FirewallPolicyId": "9ceeda22-6050-4048-a0ca-50ce47f0cc65",
"FirewallPolicyName": "InitialFirewall",
"Description": "Initial firewall"
}
```
## AwsNetworkFirewallRuleGroup
L'`AwsNetworkFirewallRuleGroup`objet fournit des détails sur un groupe de AWS Network Firewall règles. Les groupes de règles sont utilisés pour inspecter et contrôler le trafic réseau. Les groupes de règles apatrides s'appliquent aux paquets individuels. Les groupes de règles dynamiques s'appliquent aux paquets dans le contexte de leur flux de trafic.
Les groupes de règles sont référencés dans les politiques de pare-feu.
Les exemples suivants montrent le format ASFF ( AWS Security Finding Format) de l'`AwsNetworkFirewallRuleGroup`objet. Pour consulter les descriptions des `AwsNetworkFirewallRuleGroup` attributs, reportez-vous [AwsNetworkFirewallRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsNetworkFirewallRuleGroupDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple : groupe de règles apatrides**
```
"AwsNetworkFirewallRuleGroup": {
"Capacity": 600,
"RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateless-rulegroup/Stateless-1",
"RuleGroupId": "fb13c4df-b6da-4c1e-91ec-84b7a5487493",
"RuleGroupName": "Stateless-1"
"Description": "Example of a stateless rule group",
"Type": "STATELESS",
"RuleGroup": {
"RulesSource": {
"StatelessRulesAndCustomActions": {
"CustomActions": [],
"StatelessRules": [
{
"Priority": 1,
"RuleDefinition": {
"Actions": [
"aws:pass"
],
"MatchAttributes": {
"DestinationPorts": [
{
"FromPort": 443,
"ToPort": 443
}
],
"Destinations": [
{
"AddressDefinition": "192.0.2.0/24"
}
],
"Protocols": [
6
],
"SourcePorts": [
{
"FromPort": 0,
"ToPort": 65535
}
],
"Sources": [
{
"AddressDefinition": "198.51.100.0/24"
}
]
}
}
}
]
}
}
}
}
```
**Exemple : groupe de règles dynamiques**
```
"AwsNetworkFirewallRuleGroup": {
"Capacity": 100,
"RuleGroupArn": "arn:aws:network-firewall:us-east-1:444455556666:stateful-rulegroup/tupletest",
"RuleGroupId": "38b71c12-da80-4643-a6c5-03337f8933e0",
"RuleGroupName": "ExampleRuleGroup",
"Description": "Example of a stateful rule group",
"Type": "STATEFUL",
"RuleGroup": {
"RuleSource": {
"StatefulRules": [
{
"Action": "PASS",
"Header": {
"Destination": "Any",
"DestinationPort": "443",
"Direction": "ANY",
"Protocol": "TCP",
"Source": "Any",
"SourcePort": "Any"
},
"RuleOptions": [
{
"Keyword": "sid:1"
}
]
}
]
}
}
}
```
Voici une liste d'exemples de valeurs valides pour les `AwsNetworkFirewallRuleGroup` attributs :
+ `Action`
Valeurs valides : `PASS` \$1 `DROP` \$1 `ALERT`
+ `Protocol`
Valeurs valides : `IP` \$1 `TCP` \$1 `UDP` \$1 `ICMP` \$1 `HTTP` \$1 `FTP` \$1 `TLS` `SMB` \$1 `DNS` \$1 `DCERPC` \$1 `SSH` \$1 `SMTP` \$1 `IMAP` \$1 `MSN` \$1 `KRB5` \$1 `IKEV2` \$1 `TFTP` \$1 `NTP` \$1 `DHCP`
+ `Flags`
Valeurs valides : `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`
+ `Masks`
Valeurs valides : `FIN` \$1 `SYN` \$1 `RST` \$1 `PSH` \$1 `ACK` \$1 `URG` \$1 `ECE` \$1 `CWR`
# AwsOpenSearchServiceressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsOpenSearchService` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsOpenSearchServiceDomain
L'`AwsOpenSearchServiceDomain`objet contient des informations sur un domaine Amazon OpenSearch Service.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsOpenSearchServiceDomain`objet. Pour consulter les descriptions des `AwsOpenSearchServiceDomain` attributs, reportez-vous [AwsOpenSearchServiceDomainDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsOpenSearchServiceDomainDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsOpenSearchServiceDomain": {
"AccessPolicies": "IAM_Id",
"AdvancedSecurityOptions": {
"Enabled": true,
"InternalUserDatabaseEnabled": true,
"MasterUserOptions": {
"MasterUserArn": "arn:aws:iam::123456789012:user/third-master-use",
"MasterUserName": "third-master-use",
"MasterUserPassword": "some-password"
}
},
"Arn": "arn:aws:Opensearch:us-east-1:111122223333:somedomain",
"ClusterConfig": {
"InstanceType": "c5.large.search",
"InstanceCount": 1,
"DedicatedMasterEnabled": true,
"ZoneAwarenessEnabled": false,
"ZoneAwarenessConfig": {
"AvailabilityZoneCount": 2
},
"DedicatedMasterType": "c5.large.search",
"DedicatedMasterCount": 3,
"WarmEnabled": true,
"WarmCount": 3,
"WarmType": "ultrawarm1.large.search"
},
"DomainEndpoint": "https://es-2021-06-23t17-04-qowmgghud5vofgb5e4wmi.eu-central-1.es.amazonaws.com",
"DomainEndpointOptions": {
"EnforceHTTPS": false,
"TLSSecurityPolicy": "Policy-Min-TLS-1-0-2019-07",
"CustomEndpointCertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/bda1bff1-79c0-49d0-abe6-50a15a7477d4",
"CustomEndpointEnabled": true,
"CustomEndpoint": "example.com"
},
"DomainEndpoints": {
"vpc": "vpc-endpoint-h2dsd34efgyghrtguk5gt6j2foh4.us-east-1.es.amazonaws.com"
},
"DomainName": "my-domain",
"EncryptionAtRestOptions": {
"Enabled": false,
"KmsKeyId": "1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a"
},
"EngineVersion": "7.1",
"Id": "123456789012",
"LogPublishingOptions": {
"IndexSlowLogs": {
"CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-index-slow-logs",
"Enabled": true
},
"SearchSlowLogs": {
"CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
"Enabled": true
},
"AuditLogs": {
"CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/aes/domains/es-slow-logs",
"Enabled": true
}
},
"NodeToNodeEncryptionOptions": {
"Enabled": true
},
"ServiceSoftwareOptions": {
"AutomatedUpdateDate": "2022-04-28T14:08:37.000Z",
"Cancellable": false,
"CurrentVersion": "R20210331",
"Description": "There is no software update available for this domain.",
"NewVersion": "OpenSearch_1.0",
"UpdateAvailable": false,
"UpdateStatus": "COMPLETED",
"OptionalDeployment": false
},
"VpcOptions": {
"SecurityGroupIds": [
"sg-2a3a4a5a"
],
"SubnetIds": [
"subnet-1a2a3a4a"
],
}
}
```
# AwsRdsressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsRds` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsRdsDbCluster
L'`AwsRdsDbCluster`objet fournit des informations sur un cluster de bases de données Amazon RDS.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsRdsDbCluster`objet. Pour consulter les descriptions des `AwsRdsDbCluster` attributs, reportez-vous [AwsRdsDbClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsRdsDbCluster": {
"ActivityStreamStatus": "stopped",
"AllocatedStorage": 1,
"AssociatedRoles": [
{
"RoleArn": "arn:aws:iam::777788889999:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Status": "PENDING"
}
],
"AutoMinorVersionUpgrade": true,
"AvailabilityZones": [
"us-east-1a",
"us-east-1c",
"us-east-1e"
],
"BackupRetentionPeriod": 1,
"ClusterCreateTime": "2020-06-22T17:40:12.322Z",
"CopyTagsToSnapshot": true,
"CrossAccountClone": false,
"CustomEndpoints": [],
"DatabaseName": "Sample name",
"DbClusterIdentifier": "database-3",
"DbClusterMembers": [
{
"DbClusterParameterGroupStatus": "in-sync",
"DbInstanceIdentifier": "database-3-instance-1",
"IsClusterWriter": true,
"PromotionTier": 1,
}
],
"DbClusterOptionGroupMemberships": [],
"DbClusterParameterGroup": "cluster-parameter-group",
"DbClusterResourceId": "cluster-example",
"DbSubnetGroup": "subnet-group",
"DeletionProtection": false,
"DomainMemberships": [],
"Status": "modifying",
"EnabledCloudwatchLogsExports": [
"audit",
"error",
"general",
"slowquery"
],
"Endpoint": "database-3.cluster-example.us-east-1.rds.amazonaws.com",
"Engine": "aurora-mysql",
"EngineMode": "provisioned",
"EngineVersion": "5.7.mysql_aurora.2.03.4",
"HostedZoneId": "ZONE1",
"HttpEndpointEnabled": false,
"IamDatabaseAuthenticationEnabled": false,
"KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
"MasterUsername": "admin",
"MultiAz": false,
"Port": 3306,
"PreferredBackupWindow": "04:52-05:22",
"PreferredMaintenanceWindow": "sun:09:32-sun:10:02",
"ReaderEndpoint": "database-3.cluster-ro-example.us-east-1.rds.amazonaws.com",
"ReadReplicaIdentifiers": [],
"Status": "Modifying",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-example-1"
}
],
}
```
## AwsRdsDbClusterSnapshot
L'`AwsRdsDbClusterSnapshot`objet contient des informations sur un instantané de cluster de base de données Amazon RDS.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsRdsDbClusterSnapshot`objet. Pour consulter les descriptions des `AwsRdsDbClusterSnapshot` attributs, reportez-vous [AwsRdsDbClusterSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbClusterSnapshotDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsRdsDbClusterSnapshot": {
"AllocatedStorage": 0,
"AvailabilityZones": [
"us-east-1a",
"us-east-1d",
"us-east-1e"
],
"ClusterCreateTime": "2020-06-12T13:23:15.577Z",
"DbClusterIdentifier": "database-2",
"DbClusterSnapshotAttributes": [{
"AttributeName": "restore",
"AttributeValues": ["123456789012"]
}],
"DbClusterSnapshotIdentifier": "rds:database-2-2020-06-23-03-52",
"Engine": "aurora",
"EngineVersion": "5.6.10a",
"IamDatabaseAuthenticationEnabled": false,
"KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1",
"LicenseModel": "aurora",
"MasterUsername": "admin",
"PercentProgress": 100,
"Port": 0,
"SnapshotCreateTime": "2020-06-22T17:40:12.322Z",
"SnapshotType": "automated",
"Status": "available",
"StorageEncrypted": true,
"VpcId": "vpc-faf7e380"
}
```
## AwsRdsDbInstance
L'`AwsRdsDbInstance`objet fournit des détails sur une instance de base de données Amazon RDS.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsRdsDbInstance`objet. Pour consulter les descriptions des `AwsRdsDbInstance` attributs, reportez-vous [AwsRdsDbInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbInstanceDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsRdsDbInstance": {
"AllocatedStorage": 20,
"AssociatedRoles": [],
"AutoMinorVersionUpgrade": true,
"AvailabilityZone": "us-east-1d",
"BackupRetentionPeriod": 7,
"CaCertificateIdentifier": "certificate1",
"CharacterSetName": "",
"CopyTagsToSnapshot": true,
"DbClusterIdentifier": "",
"DbInstanceArn": "arn:aws:rds:us-east-1:111122223333:db:database-1",
"DbInstanceClass": "db.t2.micro",
"DbInstanceIdentifier": "database-1",
"DbInstancePort": 0,
"DbInstanceStatus": "available",
"DbiResourceId": "db-EXAMPLE123",
"DbName": "",
"DbParameterGroups": [
{
"DbParameterGroupName": "default.mysql5.7",
"ParameterApplyStatus": "in-sync"
}
],
"DbSecurityGroups": [],
"DbSubnetGroup": {
"DbSubnetGroupName": "my-group-123abc",
"DbSubnetGroupDescription": "My subnet group",
"VpcId": "vpc-example1",
"SubnetGroupStatus": "Complete",
"Subnets": [
{
"SubnetIdentifier": "subnet-123abc",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetStatus": "Active"
},
{
"SubnetIdentifier": "subnet-456def",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetStatus": "Active"
}
],
"DbSubnetGroupArn": ""
},
"DeletionProtection": false,
"DomainMemberships": [],
"EnabledCloudWatchLogsExports": [],
"Endpoint": {
"address": "database-1.example.us-east-1.rds.amazonaws.com",
"port": 3306,
"hostedZoneId": "ZONEID1"
},
"Engine": "mysql",
"EngineVersion": "5.7.22",
"EnhancedMonitoringResourceArn": "arn:aws:logs:us-east-1:111122223333:log-group:Example:log-stream:db-EXAMPLE1",
"IamDatabaseAuthenticationEnabled": false,
"InstanceCreateTime": "2020-06-22T17:40:12.322Z",
"Iops": "",
"KmsKeyId": "",
"LatestRestorableTime": "2020-06-24T05:50:00.000Z",
"LicenseModel": "general-public-license",
"ListenerEndpoint": "",
"MasterUsername": "admin",
"MaxAllocatedStorage": 1000,
"MonitoringInterval": 60,
"MonitoringRoleArn": "arn:aws:iam::111122223333:role/rds-monitoring-role",
"MultiAz": false,
"OptionGroupMemberships": [
{
"OptionGroupName": "default:mysql-5-7",
"Status": "in-sync"
}
],
"PreferredBackupWindow": "03:57-04:27",
"PreferredMaintenanceWindow": "thu:10:13-thu:10:43",
"PendingModifiedValues": {
"DbInstanceClass": "",
"AllocatedStorage": "",
"MasterUserPassword": "",
"Port": "",
"BackupRetentionPeriod": "",
"MultiAZ": "",
"EngineVersion": "",
"LicenseModel": "",
"Iops": "",
"DbInstanceIdentifier": "",
"StorageType": "",
"CaCertificateIdentifier": "",
"DbSubnetGroupName": "",
"PendingCloudWatchLogsExports": "",
"ProcessorFeatures": []
},
"PerformanceInsightsEnabled": false,
"PerformanceInsightsKmsKeyId": "",
"PerformanceInsightsRetentionPeriod": "",
"ProcessorFeatures": [],
"PromotionTier": "",
"PubliclyAccessible": false,
"ReadReplicaDBClusterIdentifiers": [],
"ReadReplicaDBInstanceIdentifiers": [],
"ReadReplicaSourceDBInstanceIdentifier": "",
"SecondaryAvailabilityZone": "",
"StatusInfos": [],
"StorageEncrypted": false,
"StorageType": "gp2",
"TdeCredentialArn": "",
"Timezone": "",
"VpcSecurityGroups": [
{
"VpcSecurityGroupId": "sg-example1",
"Status": "active"
}
]
}
```
## AwsRdsDbSecurityGroup
L'`AwsRdsDbSecurityGroup`objet contient des informations sur un Amazon Relational Database Service
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsRdsDbSecurityGroup`objet. Pour consulter les descriptions des `AwsRdsDbSecurityGroup` attributs, reportez-vous [AwsRdsDbSecurityGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSecurityGroupDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsRdsDbSecurityGroup": {
"DbSecurityGroupArn": "arn:aws:rds:us-west-1:111122223333:secgrp:default",
"DbSecurityGroupDescription": "default",
"DbSecurityGroupName": "mysecgroup",
"Ec2SecurityGroups": [
{
"Ec2SecurityGroupuId": "myec2group",
"Ec2SecurityGroupName": "default",
"Ec2SecurityGroupOwnerId": "987654321021",
"Status": "authorizing"
}
],
"IpRanges": [
{
"Cidrip": "0.0.0.0/0",
"Status": "authorizing"
}
],
"OwnerId": "123456789012",
"VpcId": "vpc-1234567f"
}
```
## AwsRdsDbSnapshot
L'`AwsRdsDbSnapshot`objet contient des informations sur un instantané de cluster de base de données Amazon RDS.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsRdsDbSnapshot`objet. Pour consulter les descriptions des `AwsRdsDbSnapshot` attributs, reportez-vous [AwsRdsDbSnapshotDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsDbSnapshotDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsRdsDbSnapshot": {
"DbSnapshotIdentifier": "rds:database-1-2020-06-22-17-41",
"DbInstanceIdentifier": "database-1",
"SnapshotCreateTime": "2020-06-22T17:41:29.967Z",
"Engine": "mysql",
"AllocatedStorage": 20,
"Status": "available",
"Port": 3306,
"AvailabilityZone": "us-east-1d",
"VpcId": "vpc-example1",
"InstanceCreateTime": "2020-06-22T17:40:12.322Z",
"MasterUsername": "admin",
"EngineVersion": "5.7.22",
"LicenseModel": "general-public-license",
"SnapshotType": "automated",
"Iops": null,
"OptionGroupName": "default:mysql-5-7",
"PercentProgress": 100,
"SourceRegion": null,
"SourceDbSnapshotIdentifier": "",
"StorageType": "gp2",
"TdeCredentialArn": "",
"Encrypted": false,
"KmsKeyId": "",
"Timezone": "",
"IamDatabaseAuthenticationEnabled": false,
"ProcessorFeatures": [],
"DbiResourceId": "db-resourceexample1"
}
```
## AwsRdsEventSubscription
Le `AwsRdsEventSubscription` contient des informations sur un abonnement aux notifications d'événements RDS. L'abonnement permet à RDS de publier des événements sur un sujet SNS.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsRdsEventSubscription`objet. Pour consulter les descriptions des `AwsRdsEventSubscription` attributs, reportez-vous [AwsRdsEventSubscriptionDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRdsEventSubscriptionDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsRdsEventSubscription": {
"CustSubscriptionId": "myawsuser-secgrp",
"CustomerAwsId": "111111111111",
"Enabled": true,
"EventCategoriesList": [
"configuration change",
"failure"
],
"EventSubscriptionArn": "arn:aws:rds:us-east-1:111111111111:es:my-instance-events",
"SnsTopicArn": "arn:aws:sns:us-east-1:111111111111:myawsuser-RDS",
"SourceIdsList": [
"si-sample",
"mysqldb-rr"
],
"SourceType": "db-security-group",
"Status": "creating",
"SubscriptionCreationTime": "2021-06-27T01:38:01.090Z"
}
```
# AwsRedshiftressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsRedshift` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsRedshiftCluster
L'`AwsRedshiftCluster`objet contient des informations sur un cluster Amazon Redshift.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsRedshiftCluster`objet. Pour consulter les descriptions des `AwsRedshiftCluster` attributs, reportez-vous [AwsRedshiftClusterDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRedshiftClusterDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsRedshiftCluster": {
"AllowVersionUpgrade": true,
"AutomatedSnapshotRetentionPeriod": 1,
"AvailabilityZone": "us-west-2d",
"ClusterAvailabilityStatus": "Unavailable",
"ClusterCreateTime": "2020-08-03T19:22:44.637Z",
"ClusterIdentifier": "redshift-cluster-1",
"ClusterNodes": [
{
"NodeRole": "LEADER",
"PrivateIPAddress": "192.0.2.108",
"PublicIPAddress": "198.51.100.29"
},
{
"NodeRole": "COMPUTE-0",
"PrivateIPAddress": "192.0.2.22",
"PublicIPAddress": "198.51.100.63"
},
{
"NodeRole": "COMPUTE-1",
"PrivateIPAddress": "192.0.2.224",
"PublicIPAddress": "198.51.100.226"
}
],
"ClusterParameterGroups": [
{
"ClusterParameterStatusList": [
{
"ParameterName": "max_concurrency_scaling_clusters",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "enable_user_activity_logging",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "auto_analyze",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "query_group",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "datestyle",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "extra_float_digits",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "search_path",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "statement_timeout",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "wlm_json_configuration",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "require_ssl",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
},
{
"ParameterName": "use_fips_ssl",
"ParameterApplyStatus": "in-sync",
"ParameterApplyErrorDescription": "parameterApplyErrorDescription"
}
],
"ParameterApplyStatus": "in-sync",
"ParameterGroupName": "temp"
}
],
"ClusterPublicKey": "JalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Amazon-Redshift",
"ClusterRevisionNumber": 17498,
"ClusterSecurityGroups": [
{
"ClusterSecurityGroupName": "default",
"Status": "active"
}
],
"ClusterSnapshotCopyStatus": {
"DestinationRegion": "us-west-2",
"ManualSnapshotRetentionPeriod": -1,
"RetentionPeriod": 1,
"SnapshotCopyGrantName": "snapshotCopyGrantName"
},
"ClusterStatus": "available",
"ClusterSubnetGroupName": "default",
"ClusterVersion": "1.0",
"DBName": "dev",
"DeferredMaintenanceWindows": [
{
"DeferMaintenanceEndTime": "2020-10-07T20:34:01.000Z",
"DeferMaintenanceIdentifier": "deferMaintenanceIdentifier",
"DeferMaintenanceStartTime": "2020-09-07T20:34:01.000Z"
}
],
"ElasticIpStatus": {
"ElasticIp": "203.0.113.29",
"Status": "active"
},
"ElasticResizeNumberOfNodeOptions": "4",
"Encrypted": false,
"Endpoint": {
"Address": "redshift-cluster-1.example.us-west-2.redshift.amazonaws.com",
"Port": 5439
},
"EnhancedVpcRouting": false,
"ExpectedNextSnapshotScheduleTime": "2020-10-13T20:34:01.000Z",
"ExpectedNextSnapshotScheduleTimeStatus": "OnTrack",
"HsmStatus": {
"HsmClientCertificateIdentifier": "hsmClientCertificateIdentifier",
"HsmConfigurationIdentifier": "hsmConfigurationIdentifier",
"Status": "applying"
},
"IamRoles": [
{
"ApplyStatus": "in-sync",
"IamRoleArn": "arn:aws:iam::111122223333:role/RedshiftCopyUnload"
}
],
"KmsKeyId": "kmsKeyId",
"LoggingStatus": {
"BucketName": "amzn-s3-demo-bucket",
"LastFailureMessage": "test message",
"LastFailureTime": "2020-08-09T13:00:00.000Z",
"LastSuccessfulDeliveryTime": "2020-08-08T13:00:00.000Z",
"LoggingEnabled": true,
"S3KeyPrefix": "/"
},
"MaintenanceTrackName": "current",
"ManualSnapshotRetentionPeriod": -1,
"MasterUsername": "awsuser",
"NextMaintenanceWindowStartTime": "2020-08-09T13:00:00.000Z",
"NodeType": "dc2.large",
"NumberOfNodes": 2,
"PendingActions": [],
"PendingModifiedValues": {
"AutomatedSnapshotRetentionPeriod": 0,
"ClusterIdentifier": "clusterIdentifier",
"ClusterType": "clusterType",
"ClusterVersion": "clusterVersion",
"EncryptionType": "None",
"EnhancedVpcRouting": false,
"MaintenanceTrackName": "maintenanceTrackName",
"MasterUserPassword": "masterUserPassword",
"NodeType": "dc2.large",
"NumberOfNodes": 1,
"PubliclyAccessible": true
},
"PreferredMaintenanceWindow": "sun:13:00-sun:13:30",
"PubliclyAccessible": true,
"ResizeInfo": {
"AllowCancelResize": true,
"ResizeType": "ClassicResize"
},
"RestoreStatus": {
"CurrentRestoreRateInMegaBytesPerSecond": 15,
"ElapsedTimeInSeconds": 120,
"EstimatedTimeToCompletionInSeconds": 100,
"ProgressInMegaBytes": 10,
"SnapshotSizeInMegaBytes": 1500,
"Status": "restoring"
},
"SnapshotScheduleIdentifier": "snapshotScheduleIdentifier",
"SnapshotScheduleState": "ACTIVE",
"VpcId": "vpc-example",
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-example"
}
]
}
```
# AwsRoute53ressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsRoute53` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsRoute53HostedZone
L'`AwsRoute53HostedZone`objet fournit des informations sur une zone hébergée Amazon Route 53, y compris les quatre serveurs de noms assignés à la zone hébergée. Une zone hébergée représente un ensemble d'enregistrements qui peuvent être gérés ensemble et qui appartiennent à un seul nom de domaine parent.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsRoute53HostedZone`objet. Pour consulter les descriptions des `AwsRoute53HostedZone` attributs, reportez-vous à la section [AwsRoute53 HostedZoneDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsRoute53HostedZoneDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsRoute53HostedZone": {
"HostedZone": {
"Id": "Z06419652JEMGO9TA2XKL",
"Name": "asff.testing",
"Config": {
"Comment": "This is an example comment."
}
},
"NameServers": [
"ns-470.awsdns-32.net",
"ns-1220.awsdns-12.org",
"ns-205.awsdns-13.com",
"ns-1960.awsdns-51.co.uk"
],
"QueryLoggingConfig": {
"CloudWatchLogsLogGroupArn": {
"CloudWatchLogsLogGroupArn": "arn:aws:logs:us-east-1:123456789012:log-group:asfftesting:*",
"Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"HostedZoneId": "Z00932193AF5H180PPNZD"
}
},
"Vpcs": [
{
"Id": "vpc-05d7c6e36bc03ea76",
"Region": "us-east-1"
}
]
}
```
# AwsS3ressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsS3` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsS3AccessPoint
`AwsS3AccessPoint`fournit des informations sur un point d'accès Amazon S3. Les points d'accès S3 sont appelés points de terminaison réseau attachés à des compartiments S3 que vous pouvez utiliser pour effectuer des opérations sur des objets S3.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsS3AccessPoint`objet. Pour consulter les descriptions des `AwsS3AccessPoint` attributs, consultez [AWSs3 AccessPointDetails dans](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccessPointDetails.html) la référence de l'*AWS Security Hub API*.
**Exemple**
```
"AwsS3AccessPoint": {
"AccessPointArn": "arn:aws:s3:us-east-1:123456789012:accesspoint/asff-access-point",
"Alias": "asff-access-point-hrzrlukc5m36ft7okagglf3gmwluquse1b-s3alias",
"Bucket": "amzn-s3-demo-bucket",
"BucketAccountId": "123456789012",
"Name": "asff-access-point",
"NetworkOrigin": "VPC",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true
},
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c4d5e6f1a2b3"
}
}
```
## AwsS3AccountPublicAccessBlock
`AwsS3AccountPublicAccessBlock`fournit des informations sur la configuration du bloc d'accès public Amazon S3 pour les comptes.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsS3AccountPublicAccessBlock`objet. Pour consulter les descriptions des `AwsS3AccountPublicAccessBlock` attributs, consultez [AWSs3 AccountPublicAccessBlockDetails dans](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3AccountPublicAccessBlockDetails.html) la référence de l'*AWS Security Hub API*.
**Exemple**
```
"AwsS3AccountPublicAccessBlock": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": false,
"RestrictPublicBuckets": true
}
```
## AwsS3Bucket
L'`AwsS3Bucket`objet fournit des informations sur un compartiment Amazon S3.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsS3Bucket`objet. Pour consulter les descriptions des `AwsS3Bucket` attributs, consultez [AWSs3 BucketDetails dans](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3BucketDetails.html) la référence de l'*AWS Security Hub API*.
**Exemple**
```
"AwsS3Bucket": {
"AccessControlList": "{\"grantSet\":null,\"grantList\":[{\"grantee\":{\"id\":\"4df55416215956920d9d056aa8b99803a294ea221222bb668b55a8c6bca81094\",\"displayName\":null},\"permission\":\"FullControl\"},{\"grantee\":\"AllUsers\",\"permission\":\"ReadAcp\"},{\"grantee\":\"AuthenticatedUsers\",\"permission\":\"ReadAcp\"}",,
"BucketLifecycleConfiguration": {
"Rules": [
{
"AbortIncompleteMultipartUpload": {
"DaysAfterInitiation": 5
},
"ExpirationDate": "2021-11-10T00:00:00.000Z",
"ExpirationInDays": 365,
"ExpiredObjectDeleteMarker": false,
"Filter": {
"Predicate": {
"Operands": [
{
"Prefix": "tmp/",
"Type": "LifecyclePrefixPredicate"
},
{
"Tag": {
"Key": "ArchiveAge",
"Value": "9m"
},
"Type": "LifecycleTagPredicate"
}
],
"Type": "LifecycleAndOperator"
}
},
"ID": "Move rotated logs to Glacier",
"NoncurrentVersionExpirationInDays": -1,
"NoncurrentVersionTransitions": [
{
"Days": 2,
"StorageClass": "GLACIER"
}
],
"Prefix": "rotated/",
"Status": "Enabled",
"Transitions": [
{
"Date": "2020-11-10T00:00:00.000Z",
"Days": 100,
"StorageClass": "GLACIER"
}
]
}
]
},
"BucketLoggingConfiguration": {
"DestinationBucketName": "s3serversideloggingbucket-123456789012",
"LogFilePrefix": "buckettestreadwrite23435/"
},
"BucketName": "amzn-s3-demo-bucket",
"BucketNotificationConfiguration": {
"Configurations": [{
"Destination": "arn:aws:lambda:us-east-1:123456789012:function:s3_public_write",
"Events": [
"s3:ObjectCreated:Put"
],
"Filter": {
"S3KeyFilter": {
"FilterRules": [
{
"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.PREFIX",
"Value": "pre"
},
{
"Name": "AffS3BucketNotificationConfigurationS3KeyFilterRuleName.SUFFIX",
"Value": "suf"
},
]
}
},
"Type": "LambdaConfiguration"
}]
},
"BucketVersioningConfiguration": {
"IsMfaDeleteEnabled": true,
"Status": "Off"
},
"BucketWebsiteConfiguration": {
"ErrorDocument": "error.html",
"IndexDocumentSuffix": "index.html",
"RedirectAllRequestsTo": {
"HostName": "example.com",
"Protocol": "http"
},
"RoutingRules": [{
"Condition": {
"HttpErrorCodeReturnedEquals": "Redirected",
"KeyPrefixEquals": "index"
},
"Redirect": {
"HostName": "example.com",
"HttpRedirectCode": "401",
"Protocol": "HTTP",
"ReplaceKeyPrefixWith": "string",
"ReplaceKeyWith": "string"
}
}]
},
"CreatedAt": "2007-11-30T01:46:56.000Z",
"ObjectLockConfiguration": {
"ObjectLockEnabled": "Enabled",
"Rule": {
"DefaultRetention": {
"Days": null,
"Mode": "GOVERNANCE",
"Years": 12
},
},
},
"OwnerId": "AIDACKCEVSQ6C2EXAMPLE",
"OwnerName": "s3bucketowner",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"BlockPublicPolicy": true,
"IgnorePublicAcls": true,
"RestrictPublicBuckets": true,
},
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "AES256",
"KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012"
}
}
]
}
}
```
## AwsS3Object
L'`AwsS3Object`objet fournit des informations sur un objet Amazon S3.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsS3Object`objet. Pour consulter les descriptions des `AwsS3Object` attributs, consultez [AWSs3 ObjectDetails dans](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsS3ObjectDetails.html) la référence de l'*AWS Security Hub API*.
**Exemple**
```
"AwsS3Object": {
"ContentType": "text/html",
"ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"",
"LastModified": "2012-04-23T18:25:43.511Z",
"ServerSideEncryption": "aws:kms",
"SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7",
"VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh"
}
```
# AwsSageMakerressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsSageMaker` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsSageMakerNotebookInstance
L'`AwsSageMakerNotebookInstance`objet fournit des informations sur une instance de bloc-notes Amazon SageMaker AI, qui est une instance de calcul d'apprentissage automatique exécutant l'application Jupyter Notebook.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsSageMakerNotebookInstance`objet. Pour consulter les descriptions des `AwsSageMakerNotebookInstance` attributs, reportez-vous [AwsSageMakerNotebookInstanceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSageMakerNotebookInstanceDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsSageMakerNotebookInstance": {
"DirectInternetAccess": "Disabled",
"InstanceMetadataServiceConfiguration": {
"MinimumInstanceMetadataServiceVersion": "1",
},
"InstanceType": "ml.t2.medium",
"LastModifiedTime": "2022-09-09 22:48:32.012000+00:00",
"NetworkInterfaceId": "eni-06c09ac2541a1bed3",
"NotebookInstanceArn": "arn:aws:sagemaker:us-east-1:001098605940:notebook-instance/sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm",
"NotebookInstanceName": "SagemakerNotebookInstanceRootAccessDisabledComplia-8MYjcyofZiXm",
"NotebookInstanceStatus": "InService",
"PlatformIdentifier": "notebook-al1-v1",
"RoleArn": "arn:aws:iam::001098605940:role/sechub-SageMaker-1-scenar-SageMakerCustomExecution-1R0X32HGC38IW",
"RootAccess": "Disabled",
"SecurityGroups": [
"sg-06b347359ab068745"
],
"SubnetId": "subnet-02c0deea5fa64578e",
"Url": "sagemakernotebookinstancerootaccessdisabledcomplia-8myjcyofzixm.notebook.us-east-1.sagemaker.aws",
"VolumeSizeInGB": 5
}
```
# AwsSecretsManagerressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsSecretsManager` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsSecretsManagerSecret
L'`AwsSecretsManagerSecret`objet fournit des détails sur un secret du Secrets Manager.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsSecretsManagerSecret`objet. Pour consulter les descriptions des `AwsSecretsManagerSecret` attributs, reportez-vous [AwsSecretsManagerSecretDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecretsManagerSecretDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsSecretsManagerSecret": {
"RotationRules": {
"AutomaticallyAfterDays": 30
},
"RotationOccurredWithinFrequency": true,
"KmsKeyId": "kmsKeyId",
"RotationEnabled": true,
"RotationLambdaArn": "arn:aws:lambda:us-west-2:777788889999:function:MyTestRotationLambda",
"Deleted": false,
"Name": "MyTestDatabaseSecret",
"Description": "My test database secret"
}
```
# AwsSnsressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsSns` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsSnsTopic
L'`AwsSnsTopic`objet contient des informations sur un sujet relatif à Amazon Simple Notification Service.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsSnsTopic`objet. Pour consulter les descriptions des `AwsSnsTopic` attributs, reportez-vous [AwsSnsTopicDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSnsTopicDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsSnsTopic": {
"ApplicationSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/ApplicationSuccessFeedbackRoleArn",
"FirehoseFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseFailureFeedbackRoleArn",
"FirehoseSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/FirehoseSuccessFeedbackRoleArn",
"HttpFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpFailureFeedbackRoleArn",
"HttpSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/HttpSuccessFeedbackRoleArn",
"KmsMasterKeyId": "alias/ExampleAlias",
"Owner": "123456789012",
"SqsFailureFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsFailureFeedbackRoleArn",
"SqsSuccessFeedbackRoleArn": "arn:aws:iam::123456789012:role/SqsSuccessFeedbackRoleArn",
"Subscription": {
"Endpoint": "http://sampleendpoint.com",
"Protocol": "http"
},
"TopicName": "SampleTopic"
}
```
# AwsSqsressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsSqs` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsSqsQueue
L'`AwsSqsQueue`objet contient des informations sur une file d'attente Amazon Simple Queue Service.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsSqsQueue`objet. Pour consulter les descriptions des `AwsSqsQueue` attributs, reportez-vous [AwsSqsQueueDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSqsQueueDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsSqsQueue": {
"DeadLetterTargetArn": "arn:aws:sqs:us-west-2:123456789012:queue/target",
"KmsDataKeyReusePeriodSeconds": 60,,
"KmsMasterKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"QueueName": "sample-queue"
}
```
# AwsSsmressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsSsm` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsSsmPatchCompliance
L'`AwsSsmPatchCompliance`objet fournit des informations sur l'état d'un correctif sur une instance en fonction de la ligne de base de correctif qui a été utilisée pour appliquer le correctif à l'instance.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsSsmPatchCompliance`objet. Pour consulter les descriptions des `AwsSsmPatchCompliance` attributs, reportez-vous [AwsSsmPatchComplianceDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSsmPatchComplianceDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsSsmPatchCompliance": {
"Patch": {
"ComplianceSummary": {
"ComplianceType": "Patch",
"CompliantCriticalCount": 0,
"CompliantHighCount": 0,
"CompliantInformationalCount": 0,
"CompliantLowCount": 0,
"CompliantMediumCount": 0,
"CompliantUnspecifiedCount": 461,
"ExecutionType": "Command",
"NonCompliantCriticalCount": 0,
"NonCompliantHighCount": 0,
"NonCompliantInformationalCount": 0,
"NonCompliantLowCount": 0,
"NonCompliantMediumCount": 0,
"NonCompliantUnspecifiedCount": 0,
"OverallSeverity": "UNSPECIFIED",
"PatchBaselineId": "pb-0c5b2769ef7cbe587",
"PatchGroup": "ExamplePatchGroup",
"Status": "COMPLIANT"
}
}
}
```
# AwsStepFunctionsressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsStepFunctions` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsStepFunctionStateMachine
L'`AwsStepFunctionStateMachine`objet fournit des informations sur une machine à AWS Step Functions états, qui est un flux de travail composé d'une série d'étapes pilotées par des événements.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsStepFunctionStateMachine`objet. Pour consulter les descriptions des `AwsStepFunctionStateMachine` attributs, reportez-vous [AwsStepFunctionStateMachine](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsStepFunctionStateMachineDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsStepFunctionStateMachine": {
"StateMachineArn": "arn:aws:states:us-east-1:123456789012:stateMachine:StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
"Name": "StepFunctionsLogDisableNonCompliantResource-fQLujTeXvwsb",
"Status": "ACTIVE",
"RoleArn": "arn:aws:iam::123456789012:role/teststepfunc-StatesExecutionRole-1PNM71RVO1UKT",
"Type": "STANDARD",
"LoggingConfiguration": {
"Level": "OFF",
"IncludeExecutionData": false
},
"TracingConfiguration": {
"Enabled": false
}
}
```
# AwsWafressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsWaf` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsWafRateBasedRule
L'`AwsWafRateBasedRule`objet contient des détails sur une règle AWS WAF basée sur le taux pour les ressources globales. Une règle AWS WAF basée sur le taux fournit des paramètres indiquant quand autoriser, bloquer ou compter une demande. Les règles basées sur les taux incluent le nombre de demandes qui arrivent sur une période donnée.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsWafRateBasedRule`objet. Pour consulter les descriptions des `AwsWafRateBasedRule` attributs, reportez-vous [AwsWafRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRateBasedRuleDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafRateBasedRule":{
"MatchPredicates" : [{
"DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
"Negated" : "True",
"Type" : "IPMatch" ,
}],
"MetricName" : "MetricName",
"Name" : "Test",
"RateKey" : "IP",
"RateLimit" : 235000,
"RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```
## AwsWafRegionalRateBasedRule
L'`AwsWafRegionalRateBasedRule`objet contient des détails sur une règle basée sur les taux pour les ressources régionales. Une règle basée sur le taux fournit des paramètres indiquant quand autoriser, bloquer ou compter une demande. Les règles basées sur les taux incluent le nombre de demandes qui arrivent sur une période donnée.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsWafRegionalRateBasedRule`objet. Pour consulter les descriptions des `AwsWafRegionalRateBasedRule` attributs, reportez-vous [AwsWafRegionalRateBasedRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRateBasedRuleDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafRegionalRateBasedRule":{
"MatchPredicates" : [{
"DataId" : "391b7a7e-5f00-40d2-b114-3f27ceacbbb0",
"Negated" : "True",
"Type" : "IPMatch" ,
}],
"MetricName" : "MetricName",
"Name" : "Test",
"RateKey" : "IP",
"RateLimit" : 235000,
"RuleId" : "5dfb4085-f103-4ec6-b39a-d4a0dae5f47f"
}
```
## AwsWafRegionalRule
L'`AwsWafRegionalRule`objet fournit des détails sur une règle AWS WAF régionale. Cette règle identifie les requêtes Web que vous souhaitez autoriser, bloquer ou compter.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsWafRegionalRule`objet. Pour consulter les descriptions des `AwsWafRegionalRule` attributs, reportez-vous [AwsWafRegionalRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafRegionalRule": {
"MetricName": "SampleWAF_Rule__Metric_1",
"Name": "bb-waf-regional-rule-not-empty-conditions-compliant",
"RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de95fe",
"PredicateList": [{
"DataId": "127d9346-e607-4e93-9286-c1296fb5445a",
"Negated": false,
"Type": "GeoMatch"
}]
}
```
## AwsWafRegionalRuleGroup
L'`AwsWafRegionalRuleGroup`objet fournit des détails sur un groupe de règles AWS WAF régional. Un groupe de règles est un ensemble de règles prédéfinies que vous ajoutez à une liste de contrôle d'accès Web (ACL Web).
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsWafRegionalRuleGroup`objet. Pour consulter les descriptions des `AwsWafRegionalRuleGroup` attributs, reportez-vous [AwsWafRegionalRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalRuleGroupDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafRegionalRuleGroup": {
"MetricName": "SampleWAF_Metric_1",
"Name": "bb-WAFClassicRuleGroupWithRuleCompliant",
"RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
"Rules": [{
"Action": {
"Type": "ALLOW"
}
}],
"Priority": 1,
"RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
"Type": "REGULAR"
}
```
## AwsWafRegionalWebAcl
`AwsWafRegionalWebAcl`fournit des détails sur une liste de contrôle d'accès Web AWS WAF régionale (ACL Web). Une ACL Web contient les règles qui identifient les demandes que vous souhaitez autoriser, bloquer ou compter.
Voici un exemple de `AwsWafRegionalWebAcl` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsApiGatewayV2Stage` attributs, reportez-vous [AwsWafRegionalWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRegionalWebAclDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafRegionalWebAcl": {
"DefaultAction": "ALLOW",
"MetricName" : "web-regional-webacl-metric-1",
"Name": "WebACL_123",
"RulesList": [
{
"Action": {
"Type": "Block"
},
"Priority": 3,
"RuleId": "24445857-852b-4d47-bd9c-61f05e4d223c",
"Type": "REGULAR",
"ExcludedRules": [
{
"ExclusionType": "Exclusion",
"RuleId": "Rule_id_1"
}
],
"OverrideAction": {
"Type": "OVERRIDE"
}
}
],
"WebAclId": "443c76f4-2e72-4c89-a2ee-389d501c1f67"
}
```
## AwsWafRule
`AwsWafRule`fournit des informations sur une AWS WAF règle. Une AWS WAF règle identifie les requêtes Web que vous souhaitez autoriser, bloquer ou compter.
Voici un exemple de `AwsWafRule` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsApiGatewayV2Stage` attributs, reportez-vous [AwsWafRuleDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafRule": {
"MetricName": "AwsWafRule_Metric_1",
"Name": "AwsWafRule_Name_1",
"PredicateList": [{
"DataId": "cdd225da-32cf-4773-1dc2-3bca3ed9c19c",
"Negated": false,
"Type": "GeoMatch"
}],
"RuleId": "8f651760-24fa-40a6-a9ed-4b60f1de953e"
}
```
## AwsWafRuleGroup
`AwsWafRuleGroup`fournit des informations sur un groupe de AWS WAF règles. Un groupe de AWS WAF règles est un ensemble de règles prédéfinies que vous ajoutez à une liste de contrôle d'accès Web (ACL Web).
Voici un exemple de `AwsWafRuleGroup` recherche au format ASFF ( AWS Security Finding Format). Pour consulter les descriptions des `AwsApiGatewayV2Stage` attributs, reportez-vous [AwsWafRuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafRuleGroupDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafRuleGroup": {
"MetricName": "SampleWAF_Metric_1",
"Name": "bb-WAFRuleGroupWithRuleCompliant",
"RuleGroupId": "2012ca6d-e66d-4d9b-b766-bfb03ad77cfb",
"Rules": [{
"Action": {
"Type": "ALLOW",
},
"Priority": 1,
"RuleId": "cdd225da-32cf-4773-8dc5-3bca3ed9c19c",
"Type": "REGULAR"
}]
}
```
## AwsWafv2RuleGroup
L'`AwsWafv2RuleGroup`objet fournit des détails sur un groupe de règles AWS WAF V2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsWafv2RuleGroup`objet. Pour consulter les descriptions des `AwsWafv2RuleGroup` attributs, reportez-vous à la section [AwsWafv2 RuleGroupDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2RuleGroupDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafv2RuleGroup": {
"Arn": "arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/wafv2rulegroupasff/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Capacity": 1000,
"Description": "Resource for ASFF",
"Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Name": "wafv2rulegroupasff",
"Rules": [{
"Action": {
"Allow": {
"CustomRequestHandling": {
"InsertHeaders": [
{
"Name": "AllowActionHeader1Name",
"Value": "AllowActionHeader1Value"
},
{
"Name": "AllowActionHeader2Name",
"Value": "AllowActionHeader2Value"
}
]
}
},
"Name": "RuleOne",
"Priority": 1,
"VisibilityConfig": {
"CloudWatchMetricsEnabled": true,
"MetricName": "rulegroupasff",
"SampledRequestsEnabled": false
}
}],
"VisibilityConfig": {
"CloudWatchMetricsEnabled": true,
"MetricName": "rulegroupasff",
"SampledRequestsEnabled": false
}
}
```
## AwsWafWebAcl
L'`AwsWafWebAcl`objet fournit des détails sur une ACL AWS WAF Web.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsWafWebAcl`objet. Pour consulter les descriptions des `AwsWafWebAcl` attributs, reportez-vous [AwsWafWebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafWebAclDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafWebAcl": {
"DefaultAction": "ALLOW",
"Name": "MyWafAcl",
"Rules": [
{
"Action": {
"Type": "ALLOW"
},
"ExcludedRules": [
{
"RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98"
}
],
"OverrideAction": {
"Type": "NONE"
},
"Priority": 1,
"RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98",
"Type": "REGULAR"
}
],
"WebAclId": "waf-1234567890"
}
```
## AwsWafv2WebAcl
L'`AwsWafv2WebAcl`objet fournit des détails sur une ACL Web AWS WAF V2.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsWafv2WebAcl`objet. Pour consulter les descriptions des `AwsWafv2WebAcl` attributs, reportez-vous à la section [AwsWafv2 WebAclDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsWafv2WebAclDetails.html) de la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsWafv2WebAcl": {
"Arn": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/WebACL-RoaD4QexqSxG/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Capacity": 1326,
"CaptchaConfig": {
"ImmunityTimeProperty": {
"ImmunityTime": 500
}
},
"DefaultAction": {
"Block": {}
},
"Description": "Web ACL for JsonBody testing",
"ManagedbyFirewallManager": false,
"Name": "WebACL-RoaD4QexqSxG",
"Rules": [{
"Action": {
"RuleAction": {
"Block": {}
}
},
"Name": "TestJsonBodyRule",
"Priority": 1,
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "JsonBodyMatchMetric"
}
}],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "TestingJsonBodyMetric"
}
}
```
# AwsXrayressources dans ASFF
Voici des exemples de syntaxe ASFF ( AWS Security Finding Format) pour les `AwsXray` ressources.
AWS Security Hub CSPM normalise les résultats provenant de diverses sources dans ASFF. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
## AwsXrayEncryptionConfig
L'`AwsXrayEncryptionConfig`objet contient des informations sur la configuration de chiffrement pour AWS X-Ray.
L'exemple suivant montre le format ASFF ( AWS Security Finding Format) pour l'`AwsXrayEncryptionConfig`objet. Pour consulter les descriptions des `AwsXrayEncryptionConfig` attributs, reportez-vous [AwsXrayEncryptionConfigDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsXrayEncryptionConfigDetails.html)à la *référence de l'AWS Security Hub API*.
**Exemple**
```
"AwsXRayEncryptionConfig":{
"KeyId": "arn:aws:kms:us-east-2:222222222222:key/example-key",
"Status": "UPDATING",
"Type":"KMS"
}
```
# CodeRepositoryobjet dans ASFF
L'`CodeRepository`objet fournit des informations sur un référentiel de code externe que vous avez connecté à AWS des ressources et que vous avez configuré Amazon Inspector pour détecter les vulnérabilités.
L'exemple suivant montre la syntaxe ASFF ( AWS Security Finding Format) de l'`CodeRepository`objet. Pour consulter les descriptions des `CodeRepository` attributs, reportez-vous [CodeRepositoryDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CodeRepositoryDetails.html)à la *référence de l'AWS Security Hub API*. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
**Exemple**
```
"CodeRepository": {
"ProviderType": "GITLAB_SELF_MANAGED",
"ProjectName": "projectName",
"CodeSecurityIntegrationArn": "arn:aws:inspector2:us-east-1:123456789012:codesecurity-integration/00000000-0000-0000-0000-000000000000"
}
```
# Containerobjet dans ASFF
L'exemple suivant montre la syntaxe ASFF ( AWS Security Finding Format) de l'`Container`objet. Pour consulter les descriptions des `Container` attributs, reportez-vous [ContainerDetails](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ContainerDetails.html)à la *référence de l'AWS Security Hub API*. Pour des informations générales sur ASFF, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
**Exemple**
```
"Container": {
"ContainerRuntime": "docker",
"ImageId": "image12",
"ImageName": "1111111/knotejs@sha256:372131c9fef111111111111115f4ed3ea5f9dce4dc3bd34ce21846588a3",
"LaunchedAt": "2018-09-29T01:25:54Z",
"Name": "knote",
"Privileged": true,
"VolumeMounts": [{
"Name": "vol-03909e9",
"MountPath": "/mnt/etc"
}]
}
```
# Otherobjet dans ASFF
Dans le format ASFF ( AWS Security Finding Format), l'`Other`objet spécifie des champs et des valeurs personnalisés. Pour plus d'informations sur ASFF, consultez[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
À l'aide de l'`Other`objet, vous pouvez spécifier des champs et des valeurs personnalisés pour une ressource. Vous pouvez utiliser l'`Other`objet dans les cas suivants :
+ Le type de ressource n'a pas d'`Details`objet correspondant. Pour spécifier les détails d'une ressource, utilisez l'`Other`objet.
+ L'`Details`objet du type de ressource n'inclut pas tous les attributs que vous souhaitez spécifier. Dans ce cas, utilisez l'`Details`objet pour le type de ressource afin de spécifier les attributs disponibles. Utilisez l'`Other`objet pour spécifier des attributs qui ne figurent pas dans l'`Details`objet spécifique au type.
+ Le type de ressource n'est pas l'un des types fournis. Dans ce cas, définissez `Resource.Type` `Other` et utilisez l'`Other`objet pour spécifier les détails.
**Type :** Carte contenant jusqu'à 50 paires clé-valeur
Chaque paire clé-valeur doit répondre aux exigences suivantes.
+ La clé doit contenir moins de 128 caractères.
+ La valeur doit contenir moins de 1 024 caractères.
# Afficher des informations dans Security Hub CSPM
Dans AWS Security Hub CSPM, un *aperçu* est un ensemble de résultats connexes. Un aperçu peut identifier une zone de sécurité spécifique qui nécessite une attention et une intervention. Par exemple, un aperçu peut mettre en évidence EC2 des cas faisant l'objet de résultats permettant de détecter de mauvaises pratiques de sécurité. Un aperçu rassemble les résultats de l'ensemble des fournisseurs de résultats.
Chaque aperçu est défini par une instruction Group by (Regrouper par) et par des filtres facultatifs. L'instruction Group by (Regrouper par) indique comment regrouper les résultats qui coïncident et identifie le type d'élément auquel l'aperçu s'applique. Par exemple, si un aperçu est regroupé par identificateur de ressource, l'aperçu génère une liste d'identificateurs de ressource. Les filtres facultatifs identifient les résultats correspondants à l'aperçu. Par exemple, vous souhaiterez peut-être consulter uniquement les résultats provenant de fournisseurs spécifiques ou les résultats associés à des types de ressources spécifiques.
Security Hub CSPM propose plusieurs informations gérées intégrées. Vous ne pouvez pas modifier ou supprimer les informations gérées. Pour suivre les problèmes de sécurité propres à votre AWS environnement et à votre utilisation, vous pouvez créer des informations personnalisées.
La page **Insights** de la console AWS Security Hub CSPM affiche la liste des informations disponibles.
Par défaut, la liste affiche à la fois des informations gérées et personnalisées. Pour filtrer la liste d'informations en fonction du type d'aperçu, choisissez le type d'aperçu dans le menu déroulant situé à côté du champ de filtre.
+ Pour afficher toutes les informations disponibles, sélectionnez **Toutes les informations**. Il s’agit de l’option par défaut.
+ Pour afficher uniquement les informations gérées, choisissez **Security Hub CSPM managed** insights.
+ Pour afficher uniquement les informations personnalisées, sélectionnez **Informations personnalisées**.
Vous pouvez également filtrer la liste des aperçus en fonction du nom de l'aperçu. Pour ce faire, dans le champ de filtre, saisissez le texte à utiliser pour filtrer la liste. Le filtre ne fait pas la distinction majuscules/minuscules. Le filtre recherche les aperçus dont le texte se trouve n'importe où dans le nom de l'aperçu.
Un aperçu ne renvoie de résultats que si vous avez activé des intégrations ou des normes qui produisent des résultats correspondants. Par exemple, l'information gérée **29. Les meilleures ressources en fonction du nombre d'échecs des contrôles CIS** ne donnent de résultats que si vous activez une version de la norme de référence du Center for Internet Security (CIS) AWS Foundations.
# Examen et prise en compte des informations contenues dans Security Hub CSPM
Pour chaque information, AWS Security Hub CSPM détermine d'abord les résultats correspondant aux critères du filtre, puis utilise l'attribut de regroupement pour regrouper les résultats correspondants.
Sur la page **Insights** de la console, vous pouvez consulter les résultats et les conclusions et agir en conséquence.
Si vous activez l'agrégation entre régions, les résultats des informations gérées (lorsque vous êtes connecté à la région d'agrégation) incluent les résultats de la région d'agrégation et des régions associées. Les résultats des aperçus personnalisés, s'ils ne sont pas filtrés par région, incluent également les résultats de la région d'agrégation et des régions associées (lorsque vous êtes connecté à la région d'agrégation). Dans d'autres régions, les résultats d'analyse ne concernent que cette région.
Pour plus d'informations sur la configuration de l'agrégation entre régions, consultez[Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
## Afficher les résultats des analyses et prendre des mesures en fonction de ces informations
Les résultats de l'aperçu consistent en une liste regroupée des résultats de l'aperçu. Par exemple, si les informations sont regroupées par identificateurs de ressources, les résultats d'analyse sont la liste des identifiants de ressources. Chaque élément de la liste des résultats indique le nombre de résultats correspondants pour cet élément.
Si les résultats sont regroupés par identifiant de ressource ou par type de ressource, les résultats incluent toutes les ressources des résultats correspondants. Cela inclut les ressources dont le type est différent de celui spécifié dans les critères de filtre. Par exemple, un aperçu identifie les résultats associés aux compartiments S3. Si un résultat correspondant contient à la fois une ressource de compartiment S3 et une ressource de clé d'accès IAM, les résultats d'analyse incluent les deux ressources.
Sur la console Security Hub CSPM, la liste des résultats est triée du plus grand nombre de résultats correspondants au plus faible. Security Hub CSPM ne peut afficher que 100 résultats. S'il existe plus de 100 valeurs de regroupement, seules les 100 premières s'affichent.
En plus de la liste des résultats, les résultats d'analyse affichent un ensemble de graphiques résumant le nombre de résultats correspondants pour les attributs suivants.
+ **Étiquette de gravité** — Nombre de résultats pour chaque étiquette de gravité
+ **Compte AWS ID** — Les cinq meilleurs comptes IDs pour les résultats correspondants
+ **Type de ressource** : les cinq principaux types de ressources pour les résultats correspondants
+ **ID de ressource** — Les cinq meilleures ressources IDs pour les résultats correspondants
+ **Nom du produit** - Les cinq meilleurs fournisseurs pour les résultats correspondants
Si vous avez configuré des actions personnalisées, vous pouvez envoyer les résultats sélectionnés à une action personnalisée. L'action doit être associée à une CloudWatch règle Amazon pour le type `Security Hub Insight Results` d'événement. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md). Si vous n'avez pas configuré d'actions personnalisées, le menu **Actions** est désactivé.
------
#### [ Security Hub CSPM console ]
**Pour consulter les résultats des analyses et prendre des mesures en conséquence (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le panneau de navigation, choisissez **Insights**.
1. Pour afficher la liste des résultats de l'aperçu, choisissez le nom de l'aperçu.
1. Activez la case à cocher pour chaque résultat à envoyer à l'action personnalisée.
1. Dans le menu **Actions** choisissez l'action personnalisée.
------
#### [ Security Hub CSPM API, AWS CLI ]
**Pour consulter les résultats d'analyse et prendre des mesures en conséquence (API, AWS CLI)**
Pour afficher les résultats d'analyse, utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)commande.
Pour identifier les informations pour lesquelles vous devez renvoyer des résultats, vous avez besoin de l'Insight ARN. Pour obtenir des informations ARNs personnalisées, utilisez l'opération [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)d'API ou la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)commande.
L'exemple suivant récupère les résultats pour l'aperçu spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
Pour plus d'informations sur la création d'actions personnalisées par programmation, consultez. [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md)
------
## Affichage et prise de mesures en fonction des résultats d'Insight (console)
À partir de la liste des résultats d'analyse de la console Security Hub CSPM, vous pouvez afficher la liste des résultats pour chaque résultat.
**Pour afficher les résultats des analyses et prendre des mesures en conséquence (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le panneau de navigation, choisissez **Insights**.
1. Pour afficher la liste des résultats de l'aperçu, choisissez le nom de l'aperçu.
1. Pour afficher la liste des résultats d'une analyse, choisissez l'élément dans la liste des résultats. La liste des conclusions montre les conclusions actives du résultat d'analyse sélectionné dont l’état de flux de travail est `NEW` ou `NOTIFIED`.
Dans la liste des résultats, vous pouvez effectuer les actions suivantes :
+ [Filtrer les résultats dans Security Hub CSPM](securityhub-findings-manage.md)
+ [Révision des détails des recherches et de l'historique](securityhub-findings-viewing.md#finding-view-details-console)
+ [Configuration de l'état des résultats du flux de travail dans Security Hub CSPM](findings-workflow-status.md)
+ [Envoi des résultats à une action Security Hub CSPM personnalisée](findings-custom-action.md)
# Informations gérées dans Security Hub CSPM
AWS Security Hub CSPM fournit plusieurs informations gérées.
Vous ne pouvez pas modifier ou supprimer les informations gérées par Security Hub CSPM. Vous pouvez [consulter les résultats de l'aperçu](securityhub-insights-view-take-action.md). Vous pouvez également [utiliser un aperçu géré comme base pour un nouvel aperçu personnalisé](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed).
Comme pour tous les résultats, un aperçu ne renvoie des résultats que si vous avez activé les intégrations de produits ou les normes de sécurité qui génèrent des résultats correspondants.
Pour les informations regroupées par identifiant de ressource, les résultats incluent les identifiants de toutes les ressources dans les résultats correspondants. Cela inclut les ressources dont le type est différent de celui indiqué dans les critères de filtre. Par exemple, l'aperçu 2 de la liste suivante identifie les résultats associés aux compartiments Amazon S3. Si un résultat correspondant contient à la fois une ressource de compartiment S3 et une ressource de clé d'accès IAM, les résultats d'analyse incluent les deux ressources.
Security Hub CSPM propose actuellement les informations gérées suivantes :
**1. AWS ressources contenant le plus de résultats**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/1`
**Regroupés par :** identifiant de ressource
**Recherche de filtres :**
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**2. Compartiments S3 avec des autorisations de lecture et d'écriture publique**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/10`
**Regroupés par :** identifiant de ressource
**Recherche de filtres :**
+ Le type commence par `Effects/Data Exposure`
+ Le type de ressource est `AwsS3Bucket`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**3. AMIs qui génèrent le plus de résultats**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/3`
**Regroupé par :** ID de l'image de l' EC2 instance
**Recherche de filtres :**
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**4. EC2 instances impliquées dans des tactiques, techniques et procédures connues (TTPs)**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/14`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par `TTPs`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**5. AWS directeurs dont l'activité liée aux clés d'accès est suspecte**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/9`
**Regroupés par : nom** principal de la clé d'accès IAM
**Recherche de filtres :**
+ Le type de ressource est `AwsIamAccessKey`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**6. AWS instances de ressources qui ne répondent pas aux normes de sécurité/meilleures pratiques**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/6`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type est `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**7. AWS ressources associées à une éventuelle exfiltration de données**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/7`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par Effects/Data Exfiltration/
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**8. AWS ressources associées à une consommation non autorisée de ressources**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/8`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par `Effects/Resource Consumption`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**9. Compartiments S3 qui ne respectent pas les normes de sécurité ou les bonnes pratiques**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/11`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type de ressource est `AwsS3Bucket`
+ Le type est `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**10. Compartiments S3 avec des données sensibles**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/12`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type de ressource est `AwsS3Bucket`
+ Le type commence par `Sensitive Data Identifications/`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**11. Informations d'identification susceptibles d'avoir fui**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/13`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par `Sensitive Data Identifications/Passwords/`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**12. EC2 instances dans lesquelles des correctifs de sécurité sont manquants pour des vulnérabilités importantes**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/16`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par `Software and Configuration Checks/Vulnerabilities/CVE`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**13. EC2 instances présentant un comportement général inhabituel**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/17`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par `Unusual Behaviors`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**14. EC2 instances dont les ports sont accessibles depuis Internet**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/18`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**15. EC2 instances qui ne répondent pas aux normes de sécurité/aux meilleures pratiques**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/19`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par l'un des éléments suivants :
+ `Software and Configuration Checks/Industry and Regulatory Standards/`
+ `Software and Configuration Checks/AWS Security Best Practices`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**16. EC2 instances ouvertes sur Internet**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/21`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**17. EC2 instances associées à la reconnaissance de l'adversaire**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/22`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par TTPs /Discovery/Recon
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**18. AWS ressources associées à des logiciels malveillants**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/23`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par l'un des éléments suivants :
+ `Effects/Data Exfiltration/Trojan`
+ `TTPs/Initial Access/Trojan`
+ `TTPs/Command and Control/Backdoor`
+ `TTPs/Command and Control/Trojan`
+ `Software and Configuration Checks/Backdoor`
+ `Unusual Behaviors/VM/Backdoor`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**19. AWS ressources associées aux problèmes de cryptomonnaie**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/24`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par l'un des éléments suivants :
+ `Effects/Resource Consumption/Cryptocurrency`
+ `TTPs/Command and Control/CryptoCurrency`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**20. AWS ressources ayant fait l'objet de tentatives d'accès non autorisées**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/25`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type commence par l'un des éléments suivants :
+ `TTPs/Command and Control/UnauthorizedAccess`
+ `TTPs/Initial Access/UnauthorizedAccess`
+ `Effects/Data Exfiltration/UnauthorizedAccess`
+ `Unusual Behaviors/User/UnauthorizedAccess`
+ `Effects/Resource Consumption/UnauthorizedAccess`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**21. Indicateurs intel de menace avec le plus d'occurrences au cours de la dernière semaine**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/26`
**Recherche de filtres :**
+ Créé au cours des 7 derniers jours
**22. Principaux comptes par nombre de conclusions**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/27`
**Regroupés par :** Compte AWS ID
**Recherche de filtres :**
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**23. Principaux produits par nombre de conclusions**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/28`
**Regroupés par :** Nom du produit
**Recherche de filtres :**
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**24. Gravité par nombre de conclusions**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/29`
**Regroupés par :** étiquette de gravité
**Recherche de filtres :**
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**25. Principaux compartiments S3 par nombre de conclusions**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/30`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type de ressource est `AwsS3Bucket`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**26. Principales EC2 instances en termes de nombre de résultats**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/31`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**27. Top AMIs en fonction du nombre de résultats**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/32`
**Regroupé par :** ID de l'image de l' EC2 instance
**Recherche de filtres :**
+ Le type de ressource est `AwsEc2Instance`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**28. Principaux utilisateurs IAM par nombre de conclusions**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/33`
**Regroupés par :** ID de clé d'accès IAM
**Recherche de filtres :**
+ Le type de ressource est `AwsIamAccessKey`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**29. Principales ressources par nombre de vérifications CIS ayant échoué**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/34`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ L'ID du générateur commence par `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`
+ Mise à jour le dernier jour
+ Le statut de conformité est `FAILED`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**30. Principales intégrations par nombre de conclusions**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/35`
**Regroupés par :** ARN du produit
**Recherche de filtres :**
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**31. Ressources avec les contrôles de sécurité ayant le plus échoué**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/36`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ Mise à jour le dernier jour
+ Le statut de conformité est `FAILED`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**32. Utilisateurs IAM présentant une activité suspecte**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/37`
**Regroupés par :** utilisateur IAM
**Recherche de filtres :**
+ Le type de ressource est `AwsIamUser`
+ L'état de l'enregistrement est `ACTIVE`
+ L'état du flux de travail est `NEW` ou `NOTIFIED`
**33. Ressources contenant le plus de AWS Health résultats**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/38`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ `ProductName`est égal `Health`
**34. Ressources contenant le plus de AWS Config résultats**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/39`
**Regroupés par :** ID de ressource
**Recherche de filtres :**
+ `ProductName`est égal `Config`
**35. Applications ayant obtenu le plus de résultats**
**ARN** : `arn:aws:securityhub:::insight/securityhub/default/40`
**Regroupés par :** ResourceApplicationArn
**Recherche de filtres :**
+ `RecordState`est égal `ACTIVE`
+ `Workflow.Status`est égal à `NEW` ou `NOTIFIED`
# Comprendre les informations personnalisées dans Security Hub CSPM
Outre les informations gérées par AWS Security Hub CSPM, vous pouvez créer des informations personnalisées dans Security Hub CSPM pour suivre les problèmes spécifiques à votre environnement. Des informations personnalisées vous aident à suivre un sous-ensemble de problèmes sélectionnés.
Voici quelques exemples d'informations personnalisées qu'il peut être utile de configurer :
+ Si vous possédez un compte administrateur, vous pouvez configurer un aperçu personnalisé pour suivre les résultats critiques et très graves qui affectent les comptes des membres.
+ Si vous vous fiez à un [AWS service intégré](securityhub-internal-providers.md) spécifique, vous pouvez configurer un aperçu personnalisé pour suivre les résultats critiques et très graves de ce service.
+ Si vous comptez sur une [intégration tierce](securityhub-partner-providers.md), vous pouvez configurer un aperçu personnalisé pour suivre les résultats critiques et très graves liés à ce produit intégré.
Vous pouvez créer des aperçus personnalisés à partir de zéro ou modifier des aperçus personnalisés ou gérés existants.
Chaque aperçu peut être configuré avec les options suivantes :
+ **Attribut** de regroupement : l'attribut de regroupement détermine quels éléments sont affichés dans la liste des résultats d'analyse. Par exemple, si l'attribut de regroupement est **Nom du produit**, les résultats d'analyse indiquent le nombre de résultats associés à chaque fournisseur de recherche.
+ **Filtres facultatifs** : les filtres affinent les résultats correspondants à l'aperçu.
Un résultat n'est inclus dans les résultats d'analyse que s'il correspond à tous les filtres fournis. Par exemple, si les filtres sont « Le nom du produit est GuardDuty » et « Type de ressource est `AwsS3Bucket` », les résultats correspondants doivent correspondre à ces deux critères.
Cependant, Security Hub CSPM applique une logique booléenne OR aux filtres qui utilisent le même attribut mais des valeurs différentes. Par exemple, si les filtres sont « Le nom du produit est GuardDuty » et « Le nom du produit est Amazon Inspector », le résultat correspond s'il a été généré par Amazon GuardDuty ou Amazon Inspector.
Si vous utilisez l'identifiant ou le type de ressource comme attribut de regroupement, les résultats d'aperçu incluent toutes les ressources figurant dans les résultats correspondants. La liste n'est pas limitée aux ressources qui correspondent à un filtre de type de ressource. Par exemple, un aperçu identifie les résultats associés aux compartiments S3 et regroupe ces résultats par identifiant de ressource. Un résultat correspondant contient à la fois une ressource de compartiment S3 et une ressource de clé d'accès IAM. Les résultats d'analyse incluent les deux ressources.
Si vous activez [l'agrégation entre régions](finding-aggregation.md), puis que vous créez un aperçu personnalisé, celui-ci s'applique aux résultats correspondants dans la région d'agrégation et dans les régions liées. L'exception est si votre aperçu inclut un filtre de région.
# Création d'un aperçu personnalisé
Dans AWS Security Hub CSPM, des informations personnalisées peuvent être utilisées pour collecter un ensemble spécifique de résultats et suivre les problèmes propres à votre environnement. Pour obtenir des informations générales sur les informations personnalisées, consultez[Comprendre les informations personnalisées dans Security Hub CSPM](securityhub-custom-insights.md).
Choisissez votre méthode préférée et suivez les étapes pour créer un aperçu personnalisé dans Security Hub CSPM
------
#### [ Security Hub CSPM console ]
**Pour créer un aperçu personnalisé (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le panneau de navigation, choisissez **Insights**.
1. Choisissez **Create insight (Créer une information)**.
1. Pour sélectionner l'attribut de regroupement pour l'aperçu :
1. Choisissez le champ de recherche pour afficher les options de filtre.
1. Choisissez **Group by (Regrouper par)**.
1. Sélectionnez l'attribut à utiliser pour regrouper les résultats associés à cet aperçu.
1. Cliquez sur **Appliquer**.
1. Vous pouvez éventuellement choisir des filtres supplémentaires à utiliser pour ces informations. Pour chaque filtre, définissez les critères du filtre, puis choisissez **Appliquer**.
1. Choisissez **Create insight (Créer une information)**.
1. Entrez un **nom d'aperçu**, puis choisissez **Créer un aperçu**.
------
#### [ Security Hub CSPM API ]
**Pour créer un aperçu personnalisé (API)**
1. Pour créer un aperçu personnalisé, utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)commande.
1. Renseignez le `Name` paramètre avec un nom pour votre aperçu personnalisé.
1. Renseignez le `Filters` paramètre pour spécifier les résultats à inclure dans l'aperçu.
1. Renseignez le `GroupByAttribute` paramètre pour spécifier quel attribut est utilisé pour regrouper les résultats inclus dans l'aperçu.
1. Vous pouvez éventuellement renseigner le `SortCriteria` paramètre pour trier les résultats selon un champ spécifique.
L'exemple suivant crée un aperçu personnalisé qui inclut les résultats critiques associés au type de `AwsIamRole` ressource. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```
------
#### [ PowerShell ]
**Pour créer un aperçu personnalisé (PowerShell)**
1. Utilisez l’applet de commande `New-SHUBInsight`.
1. Renseignez le `Name` paramètre avec un nom pour votre aperçu personnalisé.
1. Renseignez le `Filter` paramètre pour spécifier les résultats à inclure dans l'aperçu.
1. Renseignez le `GroupByAttribute` paramètre pour spécifier quel attribut est utilisé pour regrouper les résultats inclus dans l'aperçu.
Si vous avez activé [l'agrégation entre régions](finding-aggregation.md) et que vous utilisez cette applet de commande depuis la région d'agrégation, les informations s'appliquent à la mise en correspondance des résultats de l'agrégation et des régions liées.
**Exemple**
```
$Filter = @{
AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "XXX"
}
ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = 'FAILED'
}
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```
------
## Création d'un aperçu personnalisé à partir d'un aperçu géré (console uniquement)
Vous ne pouvez pas enregistrer les modifications apportées à un aperçu géré ou le supprimer. Cependant, vous pouvez utiliser un aperçu géré comme base pour un aperçu personnalisé. Il s'agit d'une option disponible uniquement sur la console Security Hub CSPM.
**Pour créer un aperçu personnalisé à partir d'un aperçu géré (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le panneau de navigation, choisissez **Insights**.
1. Choisissez l'aperçu géré à partir duquel vous souhaitez travailler.
1. Modifiez la configuration d'Insight selon vos besoins.
+ Pour modifier l'attribut utilisé pour regrouper les résultats dans l'aperçu :
1. Pour supprimer le regroupement existant, choisissez le **X** à côté du paramètre **Groupe par** paramètre.
1. Cliquez sur la barre de recherche.
1. Sélectionnez l'attribut à utiliser pour le regroupement.
1. Cliquez sur **Appliquer**.
+ Pour supprimer un filtre de l'aperçu, choisissez le **X** encerclé à côté du filtre.
+ Pour ajouter un filtre à l'aperçu :
1. Cliquez sur la barre de recherche.
1. Sélectionnez l'attribut et la valeur à utiliser comme filtre.
1. Cliquez sur **Appliquer**.
1. Lorsque vos mises à jour sont terminées, choisissez **Create insight (Créer un aperçu)**.
1. Lorsque vous y êtes invité, entrez un **nom d'aperçu**, puis choisissez **Créer un aperçu**.
# Modification d'un aperçu personnalisé
Vous pouvez modifier un aperçu personnalisé existant pour modifier la valeur de regroupement et les filtres. Après avoir apporté les modifications, vous pouvez enregistrer les mises à jour de l'aperçu d'origine ou enregistrer la version mise à jour en tant que nouvel aperçu.
Dans AWS Security Hub CSPM, des informations personnalisées peuvent être utilisées pour collecter un ensemble spécifique de résultats et suivre les problèmes propres à votre environnement. Pour obtenir des informations générales sur les informations personnalisées, consultez[Comprendre les informations personnalisées dans Security Hub CSPM](securityhub-custom-insights.md).
Pour modifier un aperçu personnalisé, choisissez votre méthode préférée et suivez les instructions.
------
#### [ Security Hub CSPM console ]
**Pour modifier un aperçu personnalisé (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le panneau de navigation, choisissez **Insights**.
1. Choisissez l'aperçu personnalisé à modifier.
1. Modifiez la configuration d'Insight selon vos besoins.
+ Pour modifier l'attribut utilisé pour regrouper les résultats dans l'aperçu :
1. Pour supprimer le regroupement existant, choisissez le **X** à côté du paramètre **Groupe par** paramètre.
1. Cliquez sur la barre de recherche.
1. Sélectionnez l'attribut à utiliser pour le regroupement.
1. Cliquez sur **Appliquer**.
+ Pour supprimer un filtre de l'aperçu, choisissez le **X** encerclé à côté du filtre.
+ Pour ajouter un filtre à l'aperçu :
1. Cliquez sur la barre de recherche.
1. Sélectionnez l'attribut et la valeur à utiliser comme filtre.
1. Cliquez sur **Appliquer**.
1. Lorsque vous avez terminé les mises à jour, choisissez **Save insight (Enregistrer l'aperçu)**.
1. Lorsque vous y êtes invité, effectuez l'une des opérations suivantes :
+ Pour mettre à jour les informations existantes afin de refléter vos modifications, choisissez **Mettre à jour**, ** puis **Enregistrer les informations**.
+ Pour créer un aperçu avec les mises à jour, choisissez **Save new insight (Enregistrer un nouvel aperçu)**. Renseignez le champ **Insight name (Nom de l'aperçu)**, puis choisissez **Save insight (Enregistrer l'aperçu)**.
------
#### [ Security Hub CSPM API ]
**Pour modifier un aperçu personnalisé (API)**
1. Utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)commande AWS CLI Exécuter.
1. Pour identifier l'aperçu personnalisé que vous souhaitez mettre à jour, indiquez le nom de ressource Amazon (ARN) de l'aperçu. Pour obtenir l'ARN d'un aperçu personnalisé, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)opération ou la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)commande.
1. Mettez à jour les `GroupByAttribute` paramètres `Name``Filters`, et selon vos besoins.
L'exemple suivant met à jour l'aperçu spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```
------
#### [ PowerShell ]
**Pour modifier un aperçu personnalisé (PowerShell)**
1. Utilisez l’applet de commande `Update-SHUBInsight`.
1. Pour identifier l'aperçu personnalisé, fournissez le nom de ressource Amazon (ARN) de l'aperçu. Pour obtenir l'ARN d'un aperçu personnalisé, utilisez l'`Get-SHUBInsight`applet de commande.
1. Mettez à jour les `GroupByAttribute` paramètres `Name``Filter`, et selon vos besoins.
**Exemple**
```
$Filter = @{
ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "AwsIamRole"
}
SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
Comparison = "EQUALS"
Value = "HIGH"
}
}
Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```
------
# Supprimer un aperçu personnalisé
Dans AWS Security Hub CSPM, des informations personnalisées peuvent être utilisées pour collecter un ensemble spécifique de résultats et suivre les problèmes propres à votre environnement. Pour obtenir des informations générales sur les informations personnalisées, consultez[Comprendre les informations personnalisées dans Security Hub CSPM](securityhub-custom-insights.md).
Pour supprimer un aperçu personnalisé, choisissez votre méthode préférée et suivez les instructions. Vous ne pouvez pas supprimer un aperçu géré.
------
#### [ Security Hub CSPM console ]
**Pour supprimer un aperçu personnalisé (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le panneau de navigation, choisissez **Insights**.
1. Recherchez l'aperçu personnalisé à supprimer.
1. Pour en savoir plus, cliquez sur l'icône Plus d'options (les trois points dans le coin supérieur droit de la carte).
1. Sélectionnez **Delete (Supprimer)**.
------
#### [ Security Hub CSPM API ]
**Pour supprimer un aperçu personnalisé (API)**
1. Utilisez le [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)commande AWS CLI Exécuter.
1. Pour identifier l'aperçu personnalisé à supprimer, indiquez l'ARN de l'aperçu. Pour obtenir l'ARN d'un aperçu personnalisé, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)opération ou la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html)commande.
L'exemple suivant supprime l'aperçu spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
#### [ PowerShell ]
**Pour supprimer un aperçu personnalisé (PowerShell)**
1. Utilisez l’applet de commande `Remove-SHUBInsight`.
1. Pour identifier l'aperçu personnalisé, fournissez l'ARN de l'aperçu. Pour obtenir l'ARN d'un aperçu personnalisé, utilisez l'`Get-SHUBInsight`applet de commande.
**Exemple**
```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
# Modification automatique des résultats et prise en compte des résultats dans Security Hub CSPM
AWS Security Hub CSPM possède des fonctionnalités qui modifient automatiquement les résultats et prennent des mesures en fonction de vos spécifications.
Security Hub CSPM prend actuellement en charge deux types d'automatisations :
+ **Règles d'automatisation** : mettez à jour et supprimez automatiquement les résultats en temps quasi réel en fonction de critères que vous définissez.
+ **Réponse et correction automatisées** : créez des EventBridge règles Amazon personnalisées qui définissent les actions automatiques à entreprendre en fonction de résultats et d'informations spécifiques.
Les règles d'automatisation sont utiles lorsque vous souhaitez mettre à jour automatiquement les champs de recherche au format ASFF ( AWS Security Finding Format). Par exemple, vous pouvez utiliser une règle d'automatisation pour mettre à jour le niveau de gravité ou l'état du flux de travail des résultats issus d'intégrations tierces spécifiques. L'utilisation de la règle d'automatisation élimine le besoin de mettre à jour manuellement le niveau de gravité ou l'état du flux de travail de chaque découverte provenant de ce produit tiers.
EventBridge les règles sont utiles lorsque vous souhaitez prendre des mesures en dehors de Security Hub CSPM en ce qui concerne des résultats spécifiques ou envoyer des résultats spécifiques à des outils tiers à des fins de correction ou d'investigation supplémentaire. Les règles peuvent être utilisées pour déclencher des actions prises en charge, telles que l'appel d'une AWS Lambda fonction ou la notification d'un résultat spécifique à une rubrique Amazon Simple Notification Service (Amazon SNS).
Les règles d'automatisation prennent effet avant EventBridge leur application. C'est-à-dire que les règles d'automatisation sont déclenchées et mettent à jour un résultat avant de le EventBridge recevoir. EventBridge les règles s'appliquent ensuite au résultat mis à jour.
Lorsque vous configurez des automatisations pour les contrôles de sécurité, nous vous recommandons de filtrer en fonction de l'ID du contrôle plutôt que du titre ou de la description. Alors que Security Hub CSPM met occasionnellement à jour les titres et les descriptions des contrôles, le contrôle IDs reste le même.
**Topics**
+ [Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md)
+ [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md)
# Comprendre les règles d'automatisation dans Security Hub CSPM
Vous pouvez utiliser des règles d'automatisation pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Au fur et à mesure qu'il ingère les résultats, le Security Hub CSPM peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes. Ces actions de règle modifient les résultats qui correspondent aux critères que vous avez spécifiés.
Voici des exemples de cas d'utilisation des règles d'automatisation :
+ Augmenter la gravité d'une constatation jusqu'à ce `CRITICAL` que son identifiant de ressource fasse référence à une ressource critique pour l'entreprise.
+ Augmenter la gravité d'une constatation de `HIGH` à `CRITICAL` si la constatation affecte les ressources dans des comptes de production spécifiques.
+ Attribuer des résultats spécifiques présentant un statut de `SUPPRESSED` flux de `INFORMATIONAL` travail grave.
Vous pouvez créer et gérer des règles d'automatisation à partir d'un compte administrateur Security Hub CSPM uniquement.
Les règles s'appliquent à la fois aux nouvelles découvertes et aux découvertes mises à jour. Vous pouvez créer une règle personnalisée à partir de zéro ou utiliser un modèle de règle fourni par Security Hub CSPM. Vous pouvez également commencer par un modèle et le modifier selon vos besoins.
## Définition des critères et des actions des règles
*À partir d'un compte administrateur Security Hub CSPM, vous pouvez créer une règle d'automatisation en définissant un ou plusieurs *critères* de règle et une ou plusieurs actions de règle.* Lorsqu'un résultat correspond aux critères définis, Security Hub CSPM lui applique les actions de règle. Pour plus d'informations sur les critères et actions disponibles, consultez[Critères de règle et actions de règle disponibles](#automation-rules-criteria-actions).
Security Hub CSPM prend actuellement en charge un maximum de 100 règles d'automatisation pour chaque compte administrateur.
Le compte administrateur Security Hub CSPM peut également modifier, afficher et supprimer les règles d'automatisation. Une règle s'applique à la correspondance des résultats dans le compte administrateur et dans tous ses comptes membres. En fournissant un compte membre IDs comme critère de règle, les administrateurs de Security Hub CSPM peuvent également utiliser des règles d'automatisation pour mettre à jour ou supprimer les résultats de comptes de membres spécifiques.
Une règle d'automatisation s'applique uniquement dans le Région AWS pays dans lequel elle a été créée. Pour appliquer une règle dans plusieurs régions, l'administrateur doit créer la règle dans chaque région. Cela peut être effectué via la console Security Hub CSPM, l'API Security Hub CSPM ou. [AWS CloudFormation](creating-resources-with-cloudformation.md) Vous pouvez également utiliser un [script de déploiement multirégional](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).
## Critères de règle et actions de règle disponibles
Les champs ASFF ( AWS Security Finding Format) suivants sont actuellement pris en charge en tant que critères pour les règles d'automatisation :
| Critère de règle | Opérateurs de filtre | Type de champ |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceStatus | Is, Is Not | Sélectionnez : [FAILED,NOT\$1AVAILABLE,PASSED,WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| CreatedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| FirstObservedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| LastObservedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| NoteUpdatedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceType | Is, Is Not | Sélectionnez (voir [Ressources](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) prises en charge par ASFF) |
| SeverityLabel | Is, Is Not | Sélectionnez : [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Chaîne |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| UpdatedAt | Start, End, DateRange | Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| WorkflowStatus | Is, Is Not | Sélectionnez : [NEW,NOTIFIED,RESOLVED,SUPPRESSED] |
Pour les critères étiquetés sous forme de champs de chaîne, l'utilisation de différents opérateurs de filtre sur le même champ affecte la logique d'évaluation. Pour plus d'informations, consultez le document [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)de référence *AWS de l'API Security Hub CSPM*.
Chaque critère prend en charge un nombre maximum de valeurs pouvant être utilisées pour filtrer les résultats correspondants. Pour connaître les limites de chaque critère, consultez le document de [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)référence *AWS de l'API Security Hub CSPM*.
Les champs ASFF suivants sont actuellement pris en charge en tant qu'actions pour les règles d'automatisation :
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Pour plus d'informations sur des champs ASFF spécifiques, consultez [AWS la section Syntaxe ASFF (Security Finding Format).](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)
**Astuce**
Si vous souhaitez que Security Hub CSPM cesse de générer des résultats pour un contrôle spécifique, nous vous recommandons de désactiver le contrôle plutôt que d'utiliser une règle d'automatisation. Lorsque vous désactivez un contrôle, Security Hub CSPM arrête d'effectuer des contrôles de sécurité sur celui-ci et de générer des résultats pour celui-ci. Vous n'avez donc pas à payer de frais pour ce contrôle. Nous recommandons d'utiliser des règles d'automatisation pour modifier les valeurs de champs ASFF spécifiques pour les résultats correspondant à des critères définis. Pour plus d'informations sur la désactivation des contrôles, consultez[Désactivation des contrôles dans Security Hub CSPM](disable-controls-overview.md).
## Résultats évalués par les règles d'automatisation
Une règle d'automatisation évalue les résultats nouveaux et mis à jour que Security Hub CSPM génère ou ingère dans le cadre de l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)opération une *fois* que vous avez créé la règle. Security Hub CSPM met à jour les résultats des contrôles toutes les 12 à 24 heures ou lorsque l'état de la ressource associée change. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
Les règles d'automatisation évaluent les résultats originaux fournis par le fournisseur. Les fournisseurs peuvent fournir de nouveaux résultats et mettre à jour les résultats existants en `BatchImportFindings` utilisant l'API Security Hub CSPM. Si les champs suivants n'existent pas dans le résultat initial, Security Hub CSPM les renseigne automatiquement, puis utilise les valeurs renseignées dans l'évaluation par la règle d'automatisation :
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Une fois que vous avez créé une ou plusieurs règles d'automatisation, celles-ci ne sont pas déclenchées si vous mettez à jour les champs de recherche à l'aide de l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)opération. Si vous créez une règle d'automatisation et effectuez une `BatchUpdateFindings` mise à jour qui affectent le même champ de recherche, la dernière mise à jour définit la valeur de ce champ. Prenons l'exemple suivant :
1. Vous utilisez cette `BatchUpdateFindings` opération pour modifier la valeur du `Workflow.Status` champ d'une recherche de `NEW` à`NOTIFIED`.
1. Si vous appelez`GetFindings`, le `Workflow.Status` champ a désormais une valeur de`NOTIFIED`.
1. Vous créez une règle d'automatisation qui fait passer le `Workflow.Status` champ du résultat de `NEW` à`SUPPRESSED`. (Rappelez-vous que les règles ignorent les mises à jour effectuées à l'aide de cette `BatchUpdateFindings` opération.)
1. Le fournisseur de résultats utilise l'`BatchImportFindings`opération pour mettre à jour le résultat et modifie la valeur du `Workflow.Status` champ du résultat en`NEW`.
1. Si vous appelez`GetFindings`, le `Workflow.Status` champ a désormais une valeur de`SUPPRESSED`. C'est le cas parce que la règle d'automatisation a été appliquée et qu'il s'agit de la dernière action entreprise sur la base du résultat.
Lorsque vous créez ou modifiez une règle sur la console Security Hub CSPM, celle-ci affiche une version bêta des résultats correspondant aux critères de la règle. Alors que les règles d'automatisation évaluent les résultats originaux envoyés par le fournisseur de recherche, la version bêta de la console reflète les résultats dans leur état final tel qu'ils seraient affichés en réponse à l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)opération (c'est-à-dire une fois que des actions de règles ou d'autres mises à jour ont été appliquées au résultat).
## Comment fonctionne l'ordre des règles
Lorsque vous créez des règles d'automatisation, vous attribuez un ordre à chaque règle. Cela détermine l'ordre dans lequel Security Hub CSPM applique vos règles d'automatisation, et cela devient important lorsque plusieurs règles concernent le même résultat ou champ de recherche.
Lorsque plusieurs actions de règle concernent le même résultat ou le même champ de recherche, la règle ayant la valeur numérique la plus élevée pour l'ordre des règles s'applique en dernier lieu et produit l'effet final.
Lorsque vous créez une règle dans la console Security Hub CSPM, Security Hub CSPM attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier. Security Hub CSPM applique les règles suivantes par ordre croissant.
Lorsque vous créez une règle via l'API Security Hub CSPM ou AWS CLI, Security Hub CSPM applique la règle dont la valeur numérique la plus faible est la première. `RuleOrder` Il applique ensuite les règles suivantes par ordre croissant. Si plusieurs résultats sont identiques`RuleOrder`, Security Hub CSPM applique une règle avec une valeur antérieure pour le `UpdatedAt` champ en premier (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).
Vous pouvez modifier l'ordre des règles à tout moment.
**Exemple d'ordre des règles** :
**Règle A (l'ordre des règles est`1`)** :
+ Critères de la règle A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` est `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` est `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Actions en vertu de la règle A
+ Mettre à jour `Confidence` vers `95`
+ Mettre à jour `Severity` vers `CRITICAL`
**Règle B (l'ordre des règles est`2`)** :
+ Critères de la règle B
+ `AwsAccountId` = `123456789012`
+ Actions relevant de la règle B
+ Mettre à jour `Severity` vers `INFORMATIONAL`
Les actions de la règle A s'appliquent d'abord aux résultats du Security Hub CSPM qui répondent aux critères de la règle A. Ensuite, les actions de la règle B s'appliquent aux résultats du Security Hub CSPM avec l'ID de compte spécifié. Dans cet exemple, étant donné que la règle B s'applique `Severity` en dernier, la valeur finale des résultats provenant de l'ID de compte spécifié est`INFORMATIONAL`. Sur la base de l'action de la règle A, la valeur `Confidence` finale des résultats correspondants est`95`.
# Création de règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Vous pouvez créer une règle d'automatisation personnalisée à partir de zéro ou, sur la console Security Hub CSPM, utiliser un modèle de règle prérempli. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Vous ne pouvez créer qu'une seule règle d'automatisation à la fois. Pour créer plusieurs règles d'automatisation, suivez les procédures de la console à plusieurs reprises ou appelez l'API ou la commande à plusieurs reprises avec les paramètres souhaités.
Vous devez créer une règle d'automatisation dans chaque région et chaque compte dans lesquels vous souhaitez que la règle s'applique aux résultats.
Lorsque vous créez une règle d'automatisation dans la console Security Hub CSPM, Security Hub CSPM affiche une version bêta des résultats auxquels s'applique votre règle. La version bêta n'est actuellement pas prise en charge si vos critères de règle incluent un filtre CONTAINS ou NOT\$1CONTAINS. Vous pouvez choisir ces filtres pour les types de champs de type carte et chaîne.
**Important**
AWS vous recommande de ne pas inclure d'informations d'identification personnelle, confidentielles ou sensibles dans le nom, la description ou d'autres champs de votre règle.
## Création d'une règle d'automatisation personnalisée
Choisissez votre méthode préférée et suivez les étapes ci-dessous pour créer une règle d'automatisation personnalisée.
------
#### [ Console ]
**Pour créer une règle d'automatisation personnalisée (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Choisissez **Créer une règle**. Pour **Type de règle**, choisissez **Créer une règle personnalisée**.
1. Dans la section **Règle**, saisissez un nom de règle unique et une description de votre règle.
1. Pour **les critères**, utilisez les menus déroulants **Clé**, **Opérateur** et **Valeur** pour définir vos critères de règle. Vous devez spécifier au moins un critère de règle.
Si les critères que vous avez sélectionnés sont pris en charge, la console affiche une version bêta des résultats correspondant à vos critères.
1. Pour **l'action automatisée**, utilisez les menus déroulants pour spécifier les champs de recherche à mettre à jour lorsque les résultats correspondent aux critères de votre règle. Vous devez spécifier au moins une action de règle.
1. Pour **le statut de la règle**, choisissez si vous souhaitez que la règle soit **activée** **ou désactivée** après sa création.
1. (Facultatif) Développez la section **Paramètres supplémentaires**. Sélectionnez **Ignorer les règles suivantes pour les résultats correspondant à ces critères** si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères des règles.
1. (Facultatif) Pour les **balises**, ajoutez des balises sous forme de paires clé-valeur pour identifier facilement la règle.
1. Choisissez **Créer une règle**.
------
#### [ API ]
**Pour créer une règle d'automatisation personnalisée (API)**
1. Exécutez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)depuis le compte administrateur du Security Hub CSPM. Cette API crée une règle avec un Amazon Resource Name (ARN) spécifique.
1. Donnez un nom et une description à la règle.
1. Définissez le `IsTerminal` paramètre sur `true` si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères de la règle.
1. Pour le `RuleOrder` paramètre, indiquez l'ordre de la règle. Security Hub CSPM applique d'abord les règles avec une valeur numérique inférieure pour ce paramètre.
1. Pour le `RuleStatus` paramètre, spécifiez si vous souhaitez que Security Hub CSPM active et commence à appliquer la règle aux résultats après sa création. La valeur par défaut est `ENABLED` si aucune valeur n'est spécifiée. La valeur de `DISABLED` signifie que la règle est suspendue après sa création.
1. Pour le `Criteria` paramètre, indiquez les critères que Security Hub CSPM doit utiliser pour filtrer vos résultats. L'action de la règle s'appliquera aux résultats correspondant aux critères. Pour obtenir la liste des critères pris en charge, consultez[Critères de règle et actions de règle disponibles](automation-rules.md#automation-rules-criteria-actions).
1. Pour le `Actions` paramètre, indiquez les actions que vous souhaitez que Security Hub CSPM entreprenne en cas de correspondance entre un résultat et les critères que vous avez définis. Pour obtenir la liste des actions prises en charge, consultez[Critères de règle et actions de règle disponibles](automation-rules.md#automation-rules-criteria-actions).
L'exemple de AWS CLI commande suivant crée une règle d'automatisation qui met à jour l'état du flux de travail et note les résultats correspondants. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Création d'une règle d'automatisation à partir d'un modèle (console uniquement)
Les modèles de règles reflètent les cas d'utilisation courants des règles d'automatisation. Actuellement, seule la console Security Hub CSPM prend en charge les modèles de règles. Procédez comme suit pour créer une règle d'automatisation à partir d'un modèle dans la console.
**Pour créer une règle d'automatisation à partir d'un modèle (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Choisissez **Créer une règle**. Pour **Type de règle**, choisissez **Créer une règle à partir d'un modèle**.
1. Sélectionnez un modèle de règle dans le menu déroulant.
1. (Facultatif) Si cela est nécessaire pour votre cas d'utilisation, modifiez les sections **Règle**, **Critères** et **Actions automatisées**. Vous devez spécifier au moins un critère de règle et une action de règle.
Si les critères que vous avez sélectionnés sont pris en charge, la console affiche une version bêta des résultats correspondant à vos critères.
1. Pour **le statut de la règle**, choisissez si vous souhaitez que la règle soit **activée** **ou désactivée** après sa création.
1. (Facultatif) Développez la section **Paramètres supplémentaires**. Sélectionnez **Ignorer les règles suivantes pour les résultats correspondant à ces critères** si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères des règles.
1. (Facultatif) Pour les **balises**, ajoutez des balises sous forme de paires clé-valeur pour identifier facilement la règle.
1. Choisissez **Créer une règle**.
# Afficher les règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Choisissez votre méthode préférée et suivez les étapes pour afficher vos règles d'automatisation existantes et les détails de chaque règle.
Pour consulter un historique de la façon dont les règles d'automatisation ont modifié vos résultats, voir[Révision des informations et de l'historique des recherches dans Security Hub CSPM](securityhub-findings-viewing.md).
------
#### [ Console ]
**Pour afficher les règles d'automatisation (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Choisissez un nom de règle. Vous pouvez également sélectionner une règle.
1. Choisissez **Actions** et **Afficher**.
------
#### [ API ]
**Pour consulter les règles d'automatisation (API)**
1. Pour consulter les règles d'automatisation de votre compte, lancez-le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)depuis le compte administrateur du Security Hub CSPM. Cette API renvoie la règle ARNs et les autres métadonnées associées à vos règles. Aucun paramètre d'entrée n'est requis pour cette API, mais vous pouvez éventuellement le fournir `MaxResults` pour limiter le nombre de résultats et `NextToken` en tant que paramètre de pagination. La valeur initiale de `NextToken` doit être`NULL`.
1. Pour plus de détails sur les règles, y compris les critères et les actions d'une règle, exécutez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)depuis le compte administrateur Security Hub CSPM. Indiquez les règles ARNs d'automatisation pour lesquelles vous souhaitez obtenir des détails.
L'exemple suivant permet de récupérer les détails des règles d'automatisation spécifiées. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Modification des règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Après avoir créé une règle d'automatisation, l'administrateur délégué du Security Hub CSPM peut modifier la règle. Lorsque vous modifiez une règle d'automatisation, les modifications s'appliquent aux résultats nouveaux et mis à jour que Security Hub CSPM génère ou ingère après la modification de la règle.
Choisissez votre méthode préférée et suivez les étapes pour modifier le contenu d'une règle d'automatisation. Vous pouvez modifier une ou plusieurs règles à l'aide d'une seule demande. Pour obtenir des instructions sur la modification de l'ordre des règles, voir[Modification de l'ordre des règles d'automatisation](edit-rule-order.md).
------
#### [ Console ]
**Pour modifier les règles d'automatisation (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Sélectionnez la règle que vous souhaitez modifier. Choisissez **Action** et **Modifier**.
1. Modifiez la règle comme vous le souhaitez, puis choisissez **Enregistrer les modifications**.
------
#### [ API ]
**Pour modifier les règles d'automatisation (API)**
1. Exécutez [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)depuis le compte administrateur du Security Hub CSPM.
1. Pour le `RuleArn` paramètre, indiquez l'ARN de la ou des règles que vous souhaitez modifier.
1. Fournissez les nouvelles valeurs pour les paramètres que vous souhaitez modifier. Vous pouvez modifier n'importe quel paramètre sauf`RuleArn`.
L’exemple suivant met à jour la règle d’automatisation spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Modification de l'ordre des règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Après avoir créé une règle d'automatisation, l'administrateur délégué du Security Hub CSPM peut modifier la règle.
Si vous souhaitez conserver les mêmes critères et actions, mais modifier l'ordre dans lequel Security Hub CSPM applique une règle d'automatisation, vous pouvez modifier uniquement l'ordre des règles. Choisissez votre méthode préférée et suivez les étapes pour modifier l'ordre des règles.
Pour obtenir des instructions sur la modification des critères ou des actions d'une règle d'automatisation, consultez[Modification des règles d'automatisation](edit-automation-rules.md).
------
#### [ Console ]
**Pour modifier l'ordre des règles d'automatisation (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Sélectionnez la règle dont vous souhaitez modifier l'ordre. Choisissez **Modifier la priorité**.
1. Choisissez **Déplacer vers le haut** pour augmenter la priorité de la règle d'une unité. Choisissez **Déplacer vers le bas** pour diminuer la priorité des règles d'une unité. Choisissez **Déplacer vers le haut** pour attribuer à la règle un ordre de **1** (cela lui donne la priorité sur les autres règles existantes).
**Note**
Lorsque vous créez une règle dans la console Security Hub CSPM, Security Hub CSPM attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier.
------
#### [ API ]
**Pour modifier l'ordre des règles d'automatisation (API)**
1. Utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)opération depuis le compte administrateur du Security Hub CSPM.
1. Pour le `RuleArn` paramètre, indiquez l'ARN de la ou des règles dont vous souhaitez modifier l'ordre.
1. Modifiez la valeur du `RuleOrder` champ.
**Note**
Si plusieurs règles sont identiques`RuleOrder`, Security Hub CSPM applique une règle avec une valeur antérieure pour le `UpdatedAt` champ en premier (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).
------
# Supprimer ou désactiver les règles d'automatisation
Une règle d'automatisation peut être utilisée pour mettre à jour automatiquement les résultats dans AWS Security Hub CSPM. Pour obtenir des informations générales sur le fonctionnement des règles d'automatisation, consultez[Comprendre les règles d'automatisation dans Security Hub CSPM](automation-rules.md).
Lorsque vous supprimez une règle d'automatisation, Security Hub CSPM la supprime de votre compte et ne l'applique plus aux résultats. Au lieu de supprimer une règle, vous pouvez *désactiver* une règle. Cela permet de conserver la règle pour une utilisation future, mais Security Hub CSPM ne l'appliquera pas aux résultats correspondants tant que vous ne l'aurez pas activée.
Choisissez votre méthode préférée et suivez les étapes pour supprimer une règle d'automatisation. Vous pouvez supprimer une ou plusieurs règles en une seule demande.
------
#### [ Console ]
**Pour supprimer ou désactiver les règles d'automatisation (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Automations.**
1. Sélectionnez la ou les règles que vous souhaitez supprimer. Choisissez **Action** et **Supprimer** (pour conserver une règle, mais la désactiver temporairement, choisissez **Désactiver**).
1. Confirmez votre choix et choisissez **Delete (Supprimer)**.
------
#### [ API ]
**Pour supprimer ou désactiver les règles d'automatisation (API)**
1. Utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)opération depuis le compte administrateur du Security Hub CSPM.
1. Pour le `AutomationRulesArns` paramètre, indiquez l'ARN de la ou des règles que vous souhaitez supprimer (pour conserver une règle, mais la désactiver temporairement, fournissez `DISABLED` le `RuleStatus` paramètre).
L’exemple suivant supprime la règle d’automatisation spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Exemples de règles d'automatisation
Cette section fournit des exemples de règles d'automatisation pour les cas d'utilisation courants de Security Hub CSPM. Ces exemples correspondent à des modèles de règles disponibles sur la console Security Hub CSPM.
## Atteignez le niveau de gravité à Critique lorsqu'une ressource spécifique, telle qu'un compartiment S3, est menacée
Dans cet exemple, les critères des règles sont mis `ResourceId` en correspondance lorsque le résultat correspond à un compartiment Amazon Simple Storage Service (Amazon S3) spécifique. L'action de la règle consiste à modifier la gravité des résultats correspondants en`CRITICAL`. Vous pouvez modifier ce modèle pour l'appliquer à d'autres ressources.
**Exemple de demande d'API** :
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemple de commande CLI :**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Accroître la sévérité des constatations relatives aux ressources dans les comptes de production
Dans cet exemple, les critères des règles sont mis en correspondance lorsqu'un résultat de `HIGH` gravité est généré dans des comptes de production spécifiques. L'action de la règle consiste à modifier la gravité des résultats correspondants en`CRITICAL`.
**Exemple de demande d'API** :
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemple de commande CLI** :
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Supprimer les résultats informationnels
Dans cet exemple, les critères de règle correspondent aux résultats de `INFORMATIONAL` gravité envoyés à Security Hub CSPM par Amazon. GuardDuty L'action de la règle consiste à modifier le statut du flux de travail des résultats correspondants sur`SUPPRESSED`.
**Exemple de demande d'API** :
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemple de commande CLI** :
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# Utilisation EventBridge pour une réponse et une correction automatisées
En créant des règles dans Amazon EventBridge, vous pouvez répondre automatiquement aux conclusions du AWS Security Hub CSPM. Security Hub CSPM envoie les résultats sous forme d'*événements* EventBridge en temps quasi réel. Vous pouvez rédiger des règles simples pour indiquer les événements qui vous intéressent et les actions automatisées à effectuer lorsqu'un événement correspond à une règle. Les actions pouvant être déclenchées automatiquement sont les suivantes :
+ Invoquer une fonction AWS Lambda
+ Invocation de la commande d'exécution Amazon EC2
+ Relais de l’événement à Amazon Kinesis Data Streams
+ Activation d'une machine à AWS Step Functions états
+ Notification d’une rubrique Amazon SNS ou d’une file d’attente Amazon SQS
+ Envoi d'un résultat à un service de billetterie tiers, de conversation instantané, de gestion des informations et des événements de sécurité (SIEM) ou à un outil de réponse aux incidents et de gestion des incidents
Security Hub CSPM envoie automatiquement tous les nouveaux résultats et toutes les mises à jour des résultats existants EventBridge sous forme EventBridge d'événements. Vous pouvez également créer des actions personnalisées qui vous permettent d'envoyer des résultats sélectionnés et des informations sur les résultats à EventBridge.
Vous configurez ensuite EventBridge des règles pour répondre à chaque type d'événement.
Pour plus d'informations sur l'utilisation EventBridge, consultez le [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).
**Note**
Il est recommandé de veiller à ce que les autorisations d'accès accordées à vos utilisateurs EventBridge utilisent des politiques de moindre privilège Gestion des identités et des accès AWS (IAM) qui n'accordent que les autorisations requises.
Pour plus d'informations, consultez la section [Gestion des identités et des accès sur Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html).
Un ensemble de modèles de réponse automatique et de correction entre comptes est également disponible dans AWS Solutions. Les modèles exploitent les règles relatives aux EventBridge événements et les fonctions Lambda. Vous déployez la solution à l'aide CloudFormation de et AWS Systems Manager. La solution peut créer des actions de réponse et de correction entièrement automatisées. Il peut également utiliser les actions personnalisées CSPM de Security Hub pour créer des actions de réponse et de correction déclenchées par l'utilisateur. Pour plus de détails sur la configuration et l'utilisation de la solution, consultez la page [Réponse de sécurité automatisée sur](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/) la AWS solution.
**Topics**
+ [Types d'événements Security Hub CSPM dans EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge formats d'événements pour Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM](securityhub-cwe-all-findings.md)
+ [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md)
# Types d'événements Security Hub CSPM dans EventBridge
Security Hub CSPM utilise les types d' EventBridge événements Amazon suivants pour s'intégrer. EventBridge
Sur le EventBridge tableau de bord de Security Hub CSPM, **All Events** inclut tous ces types d'événements.
## Tous les résultats (Security Hub Findings - Imported)
Security Hub CSPM envoie automatiquement tous les nouveaux résultats et toutes les mises à jour des résultats existants EventBridge sous forme **Security Hub Findings - Imported**d'événements. Chaque **Security Hub Findings - Imported**événement contient une seule constatation.
Chaque [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)demande [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)et déclenche un **Security Hub Findings - Imported**événement.
Pour les comptes administrateurs, le flux d'événements EventBridge inclut des événements contenant des informations provenant à la fois de leur compte et de leurs comptes de membres.
Dans une région d'agrégation, le flux d'événements inclut les événements relatifs aux résultats de la région d'agrégation et des régions associées. Les résultats interrégionaux sont inclus dans le fil des événements en temps quasi réel. Pour plus d'informations sur la configuration de l'agrégation des résultats de recherche, consultez[Comprendre l'agrégation entre régions dans Security Hub CSPM](finding-aggregation.md).
Vous pouvez définir des règles EventBridge qui acheminent automatiquement les résultats vers un flux de travail de correction, un outil tiers ou une [autre EventBridge cible prise en charge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Les règles peuvent inclure des filtres qui n'appliquent la règle que si le résultat comporte des valeurs d'attribut spécifiques.
Vous utilisez cette méthode pour envoyer automatiquement tous les résultats, ou tous les résultats présentant des caractéristiques spécifiques, à un flux de travail de réponse ou de correction.
Consultez [Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM](securityhub-cwe-all-findings.md).
## Résultats pour les actions personnalisées (Security Hub Findings - Custom Action)
Security Hub CSPM envoie également les résultats associés à des actions personnalisées EventBridge sous forme **Security Hub Findings - Custom Action**d'événements.
Cela est utile pour les analystes travaillant avec la console Security Hub CSPM qui souhaitent envoyer un résultat spécifique, ou un petit ensemble de résultats, à un flux de travail de réponse ou de correction. Vous pouvez sélectionner une action personnalisée pour un maximum de 20 résultats à la fois. Chaque résultat est envoyé EventBridge à un EventBridge événement distinct.
Lorsque vous créez une action personnalisée, vous lui attribuez un ID d'action personnalisé. Vous pouvez utiliser cet ID pour créer une EventBridge règle qui exécute une action spécifiée après avoir reçu un résultat associé à cet ID d'action personnalisé.
Consultez [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
Par exemple, vous pouvez créer une action personnalisée dans Security Hub CSPM appelée. `send_to_ticketing` Ensuite EventBridge, vous créez une règle qui est déclenchée lorsque vous EventBridge recevez un résultat incluant l'ID d'action `send_to_ticketing` personnalisé. La règle inclut la logique qui permet d'envoyer le résultat à votre système de tickets. Vous pouvez ensuite sélectionner les résultats dans Security Hub CSPM et utiliser l'action personnalisée dans Security Hub CSPM pour envoyer manuellement les résultats à votre système de billetterie.
Pour des exemples de la manière d'envoyer les résultats du Security Hub CSPM à des EventBridge fins de traitement ultérieur, consultez les sections [How to Integrate AWS Security Hub CSPM Custom Actions with the Security Hub CSPM PagerDuty](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) and [How to Enable Custom Actions in AWS Security Hub CSPM](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) sur le blog AWS Partner Network (APN).
## Résultats d'analyse pour les actions personnalisées (Security Hub Insight Results)
Vous pouvez également utiliser des actions personnalisées pour envoyer des ensembles de résultats d'analyse EventBridge sous forme d'**Security Hub Insight Results**événements. Les résultats d'analyse sont les ressources qui correspondent à une information. Notez que lorsque vous envoyez des résultats d'analyse à EventBridge, vous ne les envoyez pas à EventBridge. Vous envoyez uniquement les identifiants de ressources associés aux résultats d'analyse. Vous pouvez envoyer jusqu'à 100 identifiants de ressource à la fois.
Comme pour les actions personnalisées pour les résultats, vous devez d'abord créer l'action personnalisée dans Security Hub CSPM, puis créer une règle dans. EventBridge
Consultez [Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
Supposons, par exemple, que vous observiez un résultat d'analyse particulier qui vous intéresse et que vous souhaitez partager avec un collègue. Dans ce cas, vous pouvez utiliser une action personnalisée pour envoyer ce résultat informatif au collègue par le biais d'un chat ou d'un système de billetterie.
# EventBridge formats d'événements pour Security Hub CSPM
Les types d'**Security Hub Insight Results**événements **Security Hub Findings - Imported**Security Findings - Custom Action****, et utilisent les formats d'événements suivants.
Le format d'événement est le format utilisé lorsque Security Hub CSPM envoie un événement à. EventBridge
## Security Hub Findings - Imported
**Security Hub Findings - Imported**les événements envoyés depuis Security Hub CSPM doivent EventBridge utiliser le format suivant.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
``est le contenu, au format JSON, du résultat envoyé par l'événement. Chaque événement envoie un résultat unique.
Pour obtenir la liste complète des attributs de recherche, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
Pour plus d'informations sur la façon de configurer les EventBridge règles déclenchées par ces événements, consultez[Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM](securityhub-cwe-all-findings.md).
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action**les événements envoyés depuis Security Hub CSPM doivent EventBridge utiliser le format suivant. Chaque résultat est envoyé dans le cadre d'un événement distinct.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
``est le contenu, au format JSON, du résultat envoyé par l'événement. Chaque événement envoie un résultat unique.
Pour obtenir la liste complète des attributs de recherche, voir[AWS Format de recherche de sécurité (ASFF)](securityhub-findings-format.md).
Pour plus d'informations sur la façon de configurer les EventBridge règles déclenchées par ces événements, consultez[Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
## Security Hub Insight Results
**Security Hub Insight Results**les événements envoyés depuis Security Hub CSPM doivent EventBridge utiliser le format suivant.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
Pour plus d'informations sur la création d'une EventBridge règle déclenchée par ces événements, consultez[Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge](securityhub-cwe-custom-actions.md).
# Configuration d'une EventBridge règle pour les résultats du Security Hub CSPM
Vous pouvez créer une règle dans Amazon EventBridge qui définit une action à effectuer lors de la réception d'un **Security Hub Findings - Imported**événement. **Security Hub Findings - Imported**les événements sont déclenchés par des mises à jour provenant à la fois [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)des opérations [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)et.
Chaque règle contient un modèle d'événements qui identifie les événements qui déclenchent la règle. Le modèle d'événement contient toujours la source de l'événement (`aws.securityhub`) et le type d'événement (**Security Hub Findings - Imported**). Le modèle d'événement peut également spécifier des filtres pour identifier les résultats auxquels s'applique la règle.
La règle d'événement identifie ensuite les cibles de la règle. Les cibles sont les actions à entreprendre lorsque vous recevez EventBridge un événement **Security Hub Findings - Imported** et que le résultat correspond aux filtres.
Les instructions fournies ici utilisent la EventBridge console. Lorsque vous utilisez la console, elle crée EventBridge automatiquement la politique basée sur les ressources requise qui permet d' EventBridge écrire sur Amazon CloudWatch Logs.
Vous pouvez également utiliser le [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)fonctionnement de l' EventBridge API. Toutefois, si vous utilisez l' EventBridge API, vous devez créer la politique basée sur les ressources. Pour plus d'informations sur la politique requise, consultez la section [Autorisations relatives CloudWatch aux journaux](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) dans le *guide de EventBridge l'utilisateur Amazon*.
## Format du modèle d'événement
Le format du modèle d'événement pour **Security Hub Findings - Imported** events est le suivant :
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source`identifie Security Hub CSPM comme le service qui génère l'événement.
+ `detail-type`identifie le type d'événement.
+ `detail`est facultatif et fournit les valeurs de filtre pour le modèle d'événement. Si le modèle d'événement ne contient aucun `detail` champ, tous les résultats déclenchent la règle.
Vous pouvez filtrer les résultats en fonction de n'importe quel attribut de recherche. Pour chaque attribut, vous fournissez un tableau séparé par des virgules contenant une ou plusieurs valeurs.
```
"": [ "", ""]
```
Si vous fournissez plusieurs valeurs pour un attribut, ces valeurs sont jointes par`OR`. Une recherche correspond au filtre d'un attribut individuel si la recherche contient l'une des valeurs répertoriées. Par exemple, si vous fournissez les deux `INFORMATIONAL` et `LOW` en tant que valeurs pour`Severity.Label`, le résultat correspond s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`.
Les attributs sont joints par`AND`. Un résultat correspond s'il correspond aux critères de filtre pour tous les attributs fournis.
Lorsque vous fournissez une valeur d'attribut, elle doit refléter l'emplacement de cet attribut dans la structure ASFF ( AWS Security Finding Format).
**Astuce**
Lorsque vous filtrez les résultats des contrôles, nous vous recommandons d'utiliser les [champs `SecurityControlId` ou `SecurityControlArn` ASFF](securityhub-findings-format.md) comme filtres, plutôt que `Title` ou`Description`. Ces derniers champs peuvent changer de temps en temps, tandis que l'ID de contrôle et l'ARN sont des identifiants statiques.
Dans l'exemple suivant, le modèle d'événement fournit des valeurs de filtre pour `ProductArn` et`Severity.Label`, par conséquent, un résultat correspond s'il est généré par Amazon Inspector et s'il possède une étiquette de gravité égale à `INFORMATIONAL` ou`LOW`.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Création d'une règle d'événement
Vous pouvez utiliser un modèle d'événement prédéfini ou un modèle d'événement personnalisé pour créer une règle dans EventBridge. Si vous sélectionnez un modèle prédéfini, les champs `source` et EventBridge sont automatiquement renseignés`detail-type`. EventBridge fournit également des champs permettant de spécifier les valeurs de filtre pour les attributs de recherche suivants :
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Pour créer une EventBridge règle (console)**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. À l'aide des valeurs suivantes, créez une EventBridge règle qui surveille les événements de recherche :
+ Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.
+ Choisissez le mode de création du modèle d'événement.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Pour les **types de cibles**, choisissez un **AWS service**, et pour **Sélectionner une cible**, choisissez une cible telle qu'un sujet ou AWS Lambda une fonction Amazon SNS. La cible est déclenchée lorsqu'un événement correspond au modèle d'événement défini dans la règle est reçu.
Pour en savoir plus sur la création de règles, consultez [la section Création de EventBridge règles Amazon qui réagissent aux événements](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) dans le *guide de EventBridge l'utilisateur Amazon*.
# Utilisation d'actions personnalisées pour envoyer des résultats et des informations sur les résultats à EventBridge
Pour utiliser les actions personnalisées AWS Security Hub CSPM afin d'envoyer des conclusions ou des résultats d'analyse à Amazon EventBridge, vous devez d'abord créer l'action personnalisée dans Security Hub CSPM. Vous pouvez ensuite définir des règles EventBridge qui s'appliquent à vos actions personnalisées.
Vous pouvez créer jusqu'à 50 actions personnalisées.
Si vous activez l'agrégation entre régions et gérez les résultats de la région d'agrégation, créez des actions personnalisées dans la région d'agrégation.
La règle EventBridge utilisée utilise l'Amazon Resource Name (ARN) issu de l'action personnalisée.
# Création d'une action personnalisée
Lorsque vous créez une action personnalisée dans AWS Security Hub CSPM, vous spécifiez son nom, sa description et un identifiant unique.
Une action personnalisée indique les actions à effectuer lorsqu'un EventBridge événement correspond à une EventBridge règle. Security Hub CSPM envoie chaque résultat EventBridge sous forme d'événement.
Choisissez votre méthode préférée et suivez les étapes pour créer une action personnalisée.
------
#### [ Console ]
**Pour créer une action personnalisée dans Security Hub CSPM (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Settings (Paramètres)**, puis **Custom actions (Actions personnalisées)**.
1. Choisissez **Create custom action (Créer une action personnalisée)**.
1. Renseignez les champs **Name (Nom)**, **Description** et **Custom action ID (ID d'action personnalisé)** pour l'action.
La valeur du champ **Name (Nom)** doit comporter moins de 20 caractères.
L'**ID d'action personnalisé** doit être unique pour chaque AWS compte.
1. Choisissez **Create custom action (Créer une action personnalisée)**.
1. Notez la valeur de **Custom action ARN (ARN de l'action personnalisé)**. Vous devez utiliser l'ARN lorsque vous créez une règle à associer à cette action dans EventBridge.
------
#### [ API ]
**Pour créer une action personnalisée (API)**
Utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)opération. Si vous utilisez le AWS CLI, exécutez la [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)commande.
L'exemple suivant crée une action personnalisée pour envoyer les résultats à un outil de correction. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# Définition d'une règle dans EventBridge
Pour déclencher une action personnalisée dans Amazon EventBridge, vous devez créer une règle correspondante dans EventBridge. La définition de la règle inclut le Amazon Resource Name (ARN) de l'action personnalisée.
Le modèle d'événement d'un événement **Security Hub Findings - Custom Action** est au format suivant :
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
Le modèle d'événement d'un événement **Security Hub Insight Results** est au format suivant :
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
Dans les deux modèles, `` c'est l'ARN d'une action personnalisée. Vous pouvez configurer une règle qui s'applique à plusieurs actions personnalisées.
Les instructions fournies ici concernent la EventBridge console. Lorsque vous utilisez la console, crée EventBridge automatiquement la politique basée sur les ressources requise qui permet d'écrire dans EventBridge les CloudWatch journaux.
Vous pouvez également utiliser le [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)fonctionnement de l' EventBridge API. Toutefois, si vous utilisez l' EventBridge API, vous devez créer la politique basée sur les ressources. Pour plus de détails sur la politique requise, consultez la section [Autorisations relatives CloudWatch aux journaux](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) dans le *guide de EventBridge l'utilisateur Amazon*.
**Pour définir une règle dans EventBridge (EventBridge console)**
1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Dans le panneau de navigation, choisissez **Rules**.
1. Choisissez **Créer une règle**.
1. Saisissez un nom et une description pour la règle.
1. Pour **Event bus** (Bus d'événement), sélectionnez le bus d'événement que vous souhaitez associer à cette règle. Si vous souhaitez que cette règle mette en correspondance les événements en provenance de votre compte, sélectionnez **Par défaut**. Lorsqu'un service AWS de votre compte émet un événement, il accède toujours au bus d'événement par défaut de votre compte.
1. Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.
1. Choisissez **Suivant**.
1. Pour **Event source** (Source de l'événement), choisissez **AWS events** (Événements).
1. Pour **Modèle d'événement**, choisissez **Formulaire de modèle d'événement**.
1. Pour **Source d'événement**, choisissez **Services AWS **.
1. Pour le **AWS service**, choisissez **Security Hub**.
1. Pour **Event type (Type d'événement)**, effectuez l'une des actions suivantes :
+ Pour créer une règle à appliquer lorsque vous envoyez des résultats à une action personnalisée, choisissez **Security Hub Findings - Custom Action**.
+ Pour créer une règle à appliquer lorsque vous envoyez des résultats d'analyse à une action personnalisée, choisissez **Security Hub Insight Results**.
1. Choisissez **Action personnalisée spécifique ARNs**, ajoutez un ARN d'action personnalisé.
Si la règle s'applique à plusieurs actions personnalisées, choisissez **Ajouter** pour ajouter d'autres actions personnalisées ARNs.
1. Choisissez **Suivant**.
1. Sous **Sélectionner les cibles**, choisissez et configurez la cible à invoquer lorsque cette règle correspond.
1. Choisissez **Suivant**.
1. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez les [ EventBridge balises Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) dans le *guide de EventBridge l'utilisateur Amazon*.
1. Choisissez **Suivant**.
1. Consultez les détails de la règle et choisissez **Create rule** (Créer une règle).
Lorsque vous effectuez une action personnalisée sur les résultats ou les informations de votre compte, des événements sont générés dans EventBridge.
# Sélection d'une action personnalisée pour les conclusions et les résultats d'analyse
Après avoir créé les actions personnalisées AWS Security Hub CSPM et les EventBridge règles Amazon, vous pouvez envoyer des résultats et des informations à des EventBridge fins de gestion et de traitement automatiques.
Les événements ne sont envoyés EventBridge que dans le compte sur lequel ils sont consultés. Si vous consultez un résultat à l'aide d'un compte administrateur, l'événement est envoyé EventBridge dans le compte administrateur.
Pour que les appels d' AWS API soient efficaces, les implémentations du code cible doivent transformer les rôles en comptes de membres. Cela signifie également que le rôle dans lequel vous passez doit être déployé auprès de chaque membre où une action est nécessaire.
**Pour envoyer les résultats à EventBridge (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Afficher la liste des résultats :
+ À partir des **résultats**, vous pouvez consulter les résultats de toutes les intégrations de produits et de tous les contrôles activés.
+ À partir **des normes de sécurité**, vous pouvez accéder à une liste des résultats générés par un contrôle spécifique. Pour de plus amples informations, veuillez consulter [Examiner les détails des contrôles dans Security Hub CSPM](securityhub-standards-control-details.md).
+ Dans **Intégrations**, vous pouvez accéder à la liste des résultats générés par une intégration activée. Pour de plus amples informations, veuillez consulter [Afficher les résultats d'une intégration avec Security Hub CSPM](securityhub-integration-view-findings.md).
+ Dans **Insights**, vous pouvez accéder à une liste de résultats pour obtenir un aperçu des résultats. Pour de plus amples informations, veuillez consulter [Examen et prise en compte des informations contenues dans Security Hub CSPM](securityhub-insights-view-take-action.md).
1. Sélectionnez les résultats à envoyer EventBridge. Vous pouvez sélectionner jusqu'à 20 résultats à la fois.
1. Dans **Actions**, choisissez l'action personnalisée qui correspond à la EventBridge règle à appliquer.
Security Hub CSPM envoie un événement **Security Hub Findings - Custom Action** distinct pour chaque résultat.
**Pour envoyer les résultats d'analyse à EventBridge (console)**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le panneau de navigation, choisissez **Insights**.
1. Sur la page **Insights**, choisissez l'aperçu qui inclut les résultats à envoyer EventBridge.
1. Sélectionnez les résultats d'analyse à envoyer EventBridge. Vous pouvez sélectionner jusqu'à 20 résultats à la fois.
1. Dans **Actions**, choisissez l'action personnalisée qui correspond à la EventBridge règle à appliquer.
# Utilisation du tableau de bord dans Security Hub CSPM
Sur la console Security Hub CSPM, le tableau de bord **récapitulatif** présente un résumé de vos risques, des séquences d'attaques et de la couverture de sécurité. Ce tableau de bord vous aide à identifier les risques et les séquences d'attaques en fonction de leur gravité et de la couverture du compte pour les différentes fonctionnalités de sécurité. Chaque fois que vous ouvrez le tableau de bord, il est actualisé automatiquement. Notez toutefois que les scores de sécurité et les statuts de contrôle sont actualisés toutes les 24 heures.
Vous pouvez personnaliser le tableau de bord **récapitulatif** en y ajoutant et en supprimant différents widgets de sécurité. Vous pouvez également définir des critères de filtre pour récupérer et afficher des types de données particuliers. Si vous personnalisez le tableau de bord, Security Hub enregistre vos paramètres de personnalisation. Si d'autres utilisateurs de votre compte personnalisent le tableau de bord, leurs modifications sont enregistrées indépendamment de vos paramètres de personnalisation.
Si vous avez configuré l'agrégation entre régions dans Security Hub CSPM, le tableau de bord **récapitulatif** affiche vos données agrégées. Si votre compte est le compte d'administrateur délégué d'une organisation, les données incluent les résultats relatifs à votre compte et à vos comptes de membres. Si votre compte est un compte de membre ou un compte autonome, les données incluent les résultats uniquement pour votre compte.
**Topics**
+ [Widgets disponibles pour le tableau de bord récapitulatif](#available-widgets)
+ [Filtrer le tableau de bord](filters-dashboard.md)
+ [Personnalisation du tableau de bord](customize-dashboard.md)
## Widgets disponibles pour le tableau de bord récapitulatif
Le tableau de bord **récapitulatif** inclut des widgets qui reflètent le paysage moderne des menaces de sécurité dans le cloud, guidés par les opérations de sécurité et les expériences des AWS clients. Certains widgets sont affichés par défaut alors que d'autres ne le sont pas. Vous pouvez personnaliser l'affichage du tableau de bord en ajoutant ou en supprimant des widgets.
Pour ajouter un widget, choisissez **Ajouter un widget** en haut du tableau de bord. Vous pouvez ensuite parcourir la liste des widgets disponibles ou saisir le titre d'un widget dans la barre de recherche. Lorsque vous trouvez le widget à ajouter, faites-le glisser à l'endroit où vous souhaitez qu'il apparaisse sur le tableau de bord. Pour de plus amples informations, veuillez consulter [Personnalisation du tableau de bord](customize-dashboard.md).
### Widgets affichés par défaut
Par défaut, le tableau de bord **récapitulatif** inclut les widgets suivants.
**Principales séquences de menaces**
Affiche les séquences de menaces les plus graves. Les résultats des séquences de menaces, connus sous le nom de *résultats de séquences d'attaques* sur Amazon GuardDuty, mettent en corrélation plusieurs événements afin d'identifier les menaces potentielles pour votre AWS environnement. Les séquences de menaces peuvent inclure des comportements d'attaque en cours ou récents (dans un délai de 24 heures) dans votre environnement, qui peuvent à leur tour entraîner de nouvelles compromissions. GuardDuty S3 Protection doit GuardDuty être activé pour recevoir les résultats des séquences de menaces dans Security Hub CSPM.
**Principaux risques**
Affiche un résumé des principaux risques de votre environnement. Le haut du widget vous indique le nombre de risques à chaque niveau de gravité. Vous pouvez choisir un niveau de gravité pour accéder à la page **Risques** avec les risques filtrés selon le niveau de gravité sélectionné. Les risques les plus fréquents dans votre environnement apparaissent en premier. Ce widget vous aide à hiérarchiser les risques à atténuer.
**Couverture de sécurité**
Résume l'étendue de votre couverture de sécurité, en fonction des résultats du contrôle de couverture. Les contrôles de couverture vérifient si un Service AWS élément spécifique et ses fonctionnalités sont activés (par exemple,[[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)). Ce widget vous permet de vous assurer que vous disposez de `PASSED` résultats pour les contrôles de couverture. La console Security Hub CSPM fournit des liens depuis ce widget pour vous aider à activer les fonctionnalités de sécurité manquantes. Nous vous recommandons d'utiliser une configuration centralisée pour activer les fonctionnalités de sécurité manquantes sur plusieurs Comptes AWS et Régions AWS. Pour de plus amples informations, veuillez consulter [Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
**Normes de sécurité**
Affiche votre score de sécurité récapitulatif le plus récent et le score de sécurité pour chaque norme Security Hub CSPM. Les scores de sécurité, qui vont de 0 à 100 %, représentent la proportion de contrôles réussis par rapport à tous vos contrôles activés. Pour plus d'informations sur ces scores, consultez[Méthode de calcul des scores de sécurité](standards-security-score.md#standard-security-score-calculation). Ce widget vous aide à comprendre votre posture de sécurité globale.
**Les actifs ayant obtenu le plus de résultats**
Fournit une vue d'ensemble des ressources, des comptes et des applications ayant généré le plus de résultats. La liste est triée par ordre décroissant en fonction du nombre de résultats. Dans le widget, chaque onglet affiche les six principaux éléments de cette catégorie, regroupés par gravité et par type de ressource. Si vous choisissez un chiffre dans la colonne **Total des résultats**, Security Hub CSPM ouvre une page présentant les résultats de l'actif. Ce widget vous permet d'identifier rapidement les actifs principaux présentant des menaces de sécurité potentielles.
**Constatations par région**
Indique le nombre total de résultats, regroupés par gravité, pour chaque élément Région AWS dans lequel Security Hub CSPM est activé. Ce widget vous aide à identifier les problèmes de sécurité susceptibles d'affecter certaines régions. Si vous ouvrez le tableau de bord dans votre région d'agrégation, ce widget vous permet de surveiller les problèmes de sécurité potentiels dans chaque région associée.
**Types de menaces les plus courants**
Fournit une liste des 10 types de menaces les plus courants dans votre AWS environnement. Cela inclut les menaces telles que l'augmentation des privilèges, l'utilisation d'informations d'identification révélées ou la communication avec des adresses IP malveillantes.
Pour consulter ces données, [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) doit être activé. Si tel est le cas, choisissez un type de menace dans ce widget pour ouvrir la GuardDuty console et consulter les résultats relatifs à cette menace. Ce widget vous aide à évaluer les menaces potentielles dans le contexte d'autres problèmes de sécurité.
**Vulnérabilités logicielles associées à des exploits**
Fournit un résumé des vulnérabilités logicielles présentes dans votre AWS environnement et dont les exploits sont connus. Vous pouvez également consulter le détail des vulnérabilités pour lesquelles des correctifs sont disponibles et ceux pour lesquels des correctifs ne sont pas disponibles.
Pour consulter ces données, [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/securityhub-integration.html) doit être activé. Si tel est le cas, choisissez une statistique dans ce widget pour ouvrir la console Amazon Inspector et consulter plus de détails sur la vulnérabilité. Ce widget vous aide à évaluer les vulnérabilités logicielles dans le contexte d'autres problèmes de sécurité.
**De nouvelles découvertes au fil du temps**
Affiche les tendances du nombre de nouvelles découvertes quotidiennes au cours des 90 derniers jours. Vous pouvez ventiler les données par gravité ou par fournisseur pour plus de contexte. Ce widget vous permet de savoir si le volume de recherche a augmenté ou diminué à des moments précis au cours des 90 derniers jours.
**Ressources contenant le plus de résultats**
Fournit un résumé des ressources qui ont généré le plus de résultats, réparties selon les types de ressources suivants : buckets Amazon Simple Storage Service (Amazon S3), instances Amazon Elastic Compute Cloud (Amazon EC2) et fonctions. AWS Lambda
Dans le widget, chaque onglet se concentre sur l'un des types de ressources précédents, répertoriant les 10 instances de ressources qui ont généré le plus de résultats. Pour consulter les résultats relatifs à une ressource spécifique, choisissez l'instance de ressource. Ce widget vous permet de trier les résultats de sécurité associés aux AWS ressources communes.
### Widgets masqués par défaut
Les widgets suivants sont également disponibles pour le tableau de bord **récapitulatif**, mais ils sont masqués par défaut.
**AMIs avec le plus de résultats**
Fournit une liste des 10 Amazon Machine Images (AMI) qui ont généré le plus de résultats. Ces données ne sont disponibles que si Amazon EC2 est activé pour votre compte. Il vous aide à identifier ceux qui AMIs présentent des risques de sécurité potentiels.
**Principaux directeurs de l'IAM ayant obtenu le plus de résultats**
Fournit une liste des 10 utilisateurs Gestion des identités et des accès AWS (IAM) qui ont généré le plus de résultats. Ce widget vous permet d'effectuer des tâches administratives et de facturation. Il vous indique quels utilisateurs contribuent le plus à l'utilisation du Security Hub CSPM.
**Comptes présentant le plus grand nombre de résultats (par gravité)**
Affiche un graphique des 10 comptes ayant généré le plus de résultats, regroupés par gravité. Ce widget vous aide à déterminer sur quels comptes concentrer les efforts d'analyse et de correction.
**Comptes présentant le plus grand nombre de résultats (par type de ressource)**
Affiche un graphique des 10 comptes ayant généré le plus de résultats, regroupés par type de ressource. Ce widget vous aide à déterminer les comptes et les types de ressources à prioriser pour l'analyse et la correction.
**Perspectives**
Répertorie cinq [informations gérées par Security Hub CSPM](securityhub-managed-insights.md) et le nombre de conclusions qu'elles ont générées. Les informations identifient un domaine de sécurité spécifique qui nécessite une attention particulière.
**Dernières découvertes en matière d' AWS intégrations**
[Indique le nombre de résultats que vous avez reçus dans Security Hub CSPM grâce à Integrated. Services AWS](securityhub-internal-providers.md) Il indique également à quel moment vous avez reçu les résultats les plus récents de chaque service intégré. Ce widget fournit des données de résultats consolidées provenant de plusieurs Services AWS. Pour effectuer une analyse détaillée, choisissez un service intégré. Security Hub CSPM ouvre ensuite la console pour ce service.
# Filtrer le tableau de bord récapitulatif dans Security Hub CSPM
Vous pouvez organiser le tableau de bord **récapitulatif** sur la console Security Hub CSPM afin qu'il n'inclue que les données de sécurité les plus pertinentes pour vous. Par exemple, si vous faites partie d'une équipe d'application, vous pouvez créer une vue dédiée pour une application critique dans votre environnement de production. Si vous faites partie d'une équipe de sécurité, vous pouvez créer une vue dédiée qui vous aidera à vous concentrer sur les résultats les plus graves.
Pour créer ces vues sélectionnées, entrez les critères de filtre dans la zone de filtre située au-dessus du tableau de bord. Si vous appliquez des critères de filtrage, ceux-ci s'appliquent à toutes les données et à tous les widgets du tableau de bord, à l'exception des données des widgets **Insights** et **Security standards**. Pour obtenir la liste des widgets disponibles sur le tableau de bord, consultez[Widgets disponibles pour le tableau de bord récapitulatif](dashboard.md#available-widgets).
Vous pouvez filtrer les données à l'aide des champs suivants :
+ Nom du compte
+ ID de compte
+ ARN de l'application
+ Application name (Nom de l'application)
+ Nom du produit (pour un produit Service AWS ou un produit tiers qui envoie les résultats à Security Hub CSPM)
+ Enregistrer l'état
+ Région
+ Balise de ressource
+ Sévérité
+ État du flux de travail
Par défaut, les données du tableau de bord sont filtrées selon les critères suivants : `Workflow.Status` est `NOTIFIED` ou`NEW`, et `RecordState` est`ACTIVE`. Ces critères apparaissent au-dessus du tableau de bord, en dessous de la zone de filtre. Pour supprimer ces critères, choisissez **X** dans le jeton de filtre correspondant aux critères que vous souhaitez supprimer.
Si vous appliquez des critères de filtre que vous souhaitez réutiliser, vous pouvez les enregistrer en tant que *jeu de filtres*. Un ensemble de filtres est un ensemble de critères de filtre que vous créez et enregistrez pour être réappliqués lorsque vous consultez les données sur le tableau de bord **récapitulatif**. Vous pouvez créer et enregistrer un ensemble de filtres qui utilise tous les champs disponibles, à l'exception des champs suivants : ARN de l'application, nom de l'application et balise de ressource.
## Création et enregistrement de jeux de filtres
Procédez comme suit pour créer et enregistrer un ensemble de filtres.
**Pour créer et enregistrer un ensemble de filtres**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Résumé**.
1. Dans la zone de filtre située au-dessus du tableau de bord **récapitulatif**, entrez les critères de filtre pour le jeu de filtres.
1. Dans le menu **Effacer les filtres**, choisissez **Enregistrer le nouveau jeu de filtres**.
1. Dans la boîte de dialogue **Enregistrer le jeu de filtres**, entrez le nom du jeu de filtres.
1. (Facultatif) Pour utiliser le filtre défini par défaut chaque fois que vous ouvrez la page **Résumé**, sélectionnez l'option pour le définir comme affichage par défaut.
1. Choisissez **Enregistrer**.
Pour basculer entre les ensembles de filtres que vous avez créés et enregistrés, utilisez le menu **Choisir un ensemble de filtres situé** au-dessus du tableau de bord **récapitulatif**. Lorsque vous sélectionnez un ensemble de filtres, Security Hub CSPM applique les critères du jeu de filtres aux données du tableau de bord.
## Mettre à jour ou supprimer des ensembles de filtres
Procédez comme suit pour mettre à jour ou supprimer un ensemble de filtres existant. Si vous supprimez un ensemble de filtres actuellement défini comme vue par défaut du tableau de bord **récapitulatif**, votre vue par défaut est rétablie sur la vue CSPM par défaut de Security Hub.
**Pour mettre à jour ou supprimer un ensemble de filtres**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Résumé**.
1. Dans le menu **Choisir un ensemble de filtres situé** au-dessus de la page **Résumé**, choisissez le jeu de filtres.
1. Dans le menu **Effacer les filtres**, effectuez l'une des opérations suivantes :
+ Pour mettre à jour le jeu de filtres, choisissez **Mettre à jour le jeu de filtres actuel**. Entrez ensuite vos modifications dans la boîte de dialogue qui apparaît.
+ Pour supprimer le jeu de filtres, choisissez **Supprimer le jeu de filtres actuel**. Choisissez ensuite **Supprimer** dans la boîte de dialogue qui apparaît.
# Personnalisation du tableau de bord récapitulatif dans Security Hub CSPM
Vous pouvez personnaliser le tableau de bord **récapitulatif** sur la console Security Hub CSPM de plusieurs manières. Par exemple, vous pouvez ajouter et supprimer des widgets du tableau de bord. Vous pouvez également réorganiser et redimensionner les widgets du tableau de bord. Pour obtenir la liste des widgets disponibles et une description de chacun d'entre eux, consultez[Widgets disponibles pour le tableau de bord récapitulatif](dashboard.md#available-widgets).
Si vous personnalisez le tableau de bord, Security Hub CSPM applique immédiatement vos modifications et enregistre les nouveaux paramètres de votre tableau de bord. Vos modifications s'appliquent à votre affichage du tableau de bord dans tous Régions AWS les navigateurs.
**Pour personnaliser le tableau de bord **récapitulatif****
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, choisissez **Résumé**.
1. Effectuez l’une des actions suivantes :
+ Pour ajouter un widget, choisissez **Ajouter des widgets** dans le coin supérieur droit de la page. Dans la barre de recherche, saisissez le titre du widget à ajouter. Faites ensuite glisser le widget vers l'emplacement souhaité.
+ Pour supprimer un widget, choisissez les trois points dans le coin supérieur droit du widget.
+ Pour déplacer un widget, choisissez la poignée située dans le coin supérieur gauche du widget, puis faites glisser le widget vers l'emplacement souhaité.
+ Pour modifier la taille d'un widget, choisissez la poignée de redimensionnement dans le coin inférieur droit du widget. Faites glisser le bord du widget jusqu'à ce qu'il atteigne la taille de votre choix.
Pour restaurer ultérieurement les paramètres d'origine, choisissez **Rétablir la mise en page par défaut en** haut de la page.
# Limites régionales pour Security Hub CSPM
Certaines fonctionnalités du AWS Security Hub CSPM ne sont disponibles que dans certains cas. Régions AWS Les sections suivantes précisent ces limites régionales. Pour une liste complète de toutes les régions dans lesquelles Security Hub CSPM est actuellement disponible, consultez la section [Points de terminaison et quotas du AWS Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) dans le. *Références générales AWS*
## Restrictions d'agrégation entre régions
Dans AWS GovCloud (US) Regions, [l'agrégation entre régions](finding-aggregation.md) est disponible pour les résultats, la recherche de mises à jour et les informations AWS GovCloud (US) Regions uniquement. Plus précisément, vous pouvez agréger les résultats, trouver des mises à jour et des informations uniquement entre les AWS GovCloud régions (USA Est) et AWS GovCloud (USA Ouest).
Dans les régions de Chine, l'agrégation entre régions est disponible uniquement pour les résultats, les mises à jour et les informations concernant les régions de Chine. Plus précisément, vous pouvez agréger les résultats, trouver des mises à jour et des informations uniquement entre les régions de Chine (Pékin) et de Chine (Ningxia).
Vous ne pouvez pas utiliser une région désactivée par défaut comme région d'agrégation. Pour obtenir la liste des régions désactivées par défaut, consultez la section [Activer ou désactiver Régions AWS dans votre compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) dans le *Guide de Gestion de compte AWS référence*.
## Disponibilité des intégrations par région
Certaines intégrations ne sont pas toutes Régions AWS disponibles. Sur la console Security Hub CSPM, aucune intégration n'apparaît sur la page **Intégrations** si elle n'est pas disponible dans la région à laquelle vous êtes actuellement connecté.
### Intégrations prises en charge dans les régions de Chine (Pékin) et de Chine (Ningxia)
[Dans les régions de Chine (Pékin) et de Chine (Ningxia), Security Hub CSPM prend uniquement en charge les intégrations suivantes avec : Services AWS](securityhub-internal-providers.md)
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Identity and Access Management Access Analyzer
+ Amazon Inspector
+ AWS IoT Device Defender
+ AWS Systems Manager Explorer
+ AWS Systems Manager OpsCenter
+ AWS Systems Manager Gestionnaire de correctifs
[Dans les régions de Chine (Pékin) et de Chine (Ningxia), Security Hub CSPM prend uniquement en charge les intégrations tierces suivantes :](securityhub-partner-providers.md)
+ Cloud Custodian
+ FireEye Helix
+ Helecloud
+ IBM QRadar
+ PagerDuty
+ Palo Alto Networks Cortex XSOAR
+ Palo Alto Networks VM-Series
+ Prowler
+ RSA Archer
+ Splunk Enterprise
+ Splunk Phantom
+ ThreatModeler
### Intégrations prises en charge dans les AWS GovCloud régions (USA Est) et AWS GovCloud (USA Ouest)
[Dans les régions AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest), Security Hub CSPM prend uniquement en charge les intégrations suivantes avec : Services AWS](securityhub-internal-providers.md)
+ AWS Config
+ Amazon Detective
+ AWS Firewall Manager
+ Amazon GuardDuty
+ AWS Health
+ Analyseur d’accès IAM
+ Amazon Inspector
+ AWS IoT Device Defender
[Dans les régions AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest), Security Hub CSPM prend uniquement en charge les intégrations tierces suivantes :](securityhub-partner-providers.md)
+ Atlassian Jira Service Management
+ Atlassian Jira Service Management Cloud
+ Atlassian OpsGenie
+ Caveonix Cloud
+ Cloud Custodian
+ Cloud Storage Security Antivirus for Amazon S3
+ CrowdStrike Falcon
+ FireEye Helix
+ Forcepoint CASB
+ Forcepoint DLP
+ Forcepoint NGFW
+ Fugue
+ Kion
+ MicroFocus ArcSight
+ NETSCOUT Cyber Investigator
+ PagerDuty
+ Palo Alto Networks – Prisma Cloud Compute
+ Palo Alto Networks – Prisma Cloud Enterprise
+ Palo Alto Networks – VM-Series(disponible uniquement dans AWS GovCloud (ouest des États-Unis))
+ Prowler
+ Rackspace Technology – Cloud Native Security
+ Rapid7 InsightConnect
+ RSA Archer
+ ServiceNow ITSM
+ Slack
+ ThreatModeler
+ Vectra AI Cognito Detect
## Disponibilité des normes par région
La [norme de AWS Control Tower gestion des services](service-managed-standard-aws-control-tower.md) n'est disponible que pour les supports concernés Régions AWS . AWS Control Tower Pour obtenir la liste des régions AWS Control Tower actuellement prises en charge, consultez la section [How Régions AWS Work AWS Control Tower With](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html) du *guide de AWS Control Tower l'utilisateur*.
La [norme de balisage des AWS ressources](standards-tagging.md) n'est pas disponible dans la région Asie-Pacifique (Taipei).
D'autres normes de sécurité sont disponibles dans toutes les régions où Security Hub CSPM est actuellement disponible.
## Disponibilité des contrôles par région
Certains contrôles CSPM du Security Hub ne sont pas tous disponibles. Régions AWSPour obtenir la liste des contrôles qui ne sont pas disponibles dans chaque région, consultez[Limites régionales relatives aux contrôles CSPM du Security Hub](regions-controls.md).
Sur la console Security Hub CSPM, aucun contrôle n'apparaît dans la liste des contrôles s'il n'est pas disponible dans la région à laquelle vous êtes actuellement connecté. L'exception est une région d'agrégation. Si vous définissez une région d'agrégation et que vous vous connectez à cette région, la console affiche les commandes disponibles dans la région d'agrégation ou dans une ou plusieurs régions liées.
# Limites régionales relatives aux contrôles CSPM du Security Hub
Certains contrôles CSPM du AWS Security Hub ne sont pas tous disponibles. Régions AWS Cette page indique les contrôles qui ne sont pas disponibles dans des régions spécifiques.
Sur la console Security Hub CSPM, aucun contrôle n'apparaît dans la liste des contrôles s'il n'est pas disponible dans la région à laquelle vous êtes actuellement connecté. L'exception est une région d'agrégation. Si vous définissez une région d'agrégation et que vous vous connectez à cette région, la console affiche les commandes disponibles dans la région d'agrégation ou dans une ou plusieurs régions liées.
**Topics**
+ [USA Est (Virginie du Nord)](#securityhub-control-support-useast1)
+ [USA Est (Ohio)](#securityhub-control-support-useast2)
+ [USA Ouest (Californie du Nord)](#securityhub-control-support-uswest1)
+ [USA Ouest (Oregon)](#securityhub-control-support-uswest2)
+ [Afrique (Le Cap)](#securityhub-control-support-afsouth1)
+ [Asie-Pacifique (Hong Kong)](#securityhub-control-support-apeast1)
+ [Asie-Pacifique (Hyderabad)](#securityhub-control-support-apsouth2)
+ [Asie-Pacifique (Jakarta)](#securityhub-control-support-apsoutheast3)
+ [Asie-Pacifique (Malaisie)](#securityhub-control-support-apsoutheast5)
+ [Asie-Pacifique (Melbourne)](#securityhub-control-support-apsoutheast4)
+ [Asie-Pacifique (Mumbai)](#securityhub-control-support-apsouth1)
+ [Asie-Pacifique (Nouvelle Zélande)](#securityhub-control-support-apsoutheast6)
+ [Asie-Pacifique (Osaka)](#securityhub-control-support-apnortheast3)
+ [Asie-Pacifique (Séoul)](#securityhub-control-support-apnortheast2)
+ [Asie-Pacifique (Singapour)](#securityhub-control-support-apsoutheast1)
+ [Asie-Pacifique (Sydney)](#securityhub-control-support-apsoutheast2)
+ [Asie-Pacifique (Taipei)](#securityhub-control-support-apeast2)
+ [Asie-Pacifique (Thaïlande)](#securityhub-control-support-apsoutheast7)
+ [Asie-Pacifique (Tokyo)](#securityhub-control-support-apnortheast1)
+ [Canada (Centre)](#securityhub-control-support-cacentral1)
+ [Canada-Ouest (Calgary)](#securityhub-control-support-cawest1)
+ [Chine (Pékin)](#securityhub-control-support-cnnorth1)
+ [Chine (Ningxia)](#securityhub-control-support-cnnorthwest1)
+ [Europe (Francfort)](#securityhub-control-support-eucentral1)
+ [Europe (Irlande)](#securityhub-control-support-euwest1)
+ [Europe (Londres)](#securityhub-control-support-euwest2)
+ [Europe (Milan)](#securityhub-control-support-eusouth1)
+ [Europe (Paris)](#securityhub-control-support-euwest3)
+ [Europe (Espagne)](#securityhub-control-support-eusouth2)
+ [Europe (Stockholm)](#securityhub-control-support-eunorth1)
+ [Europe (Zurich)](#securityhub-control-support-eucentral2)
+ [Israël (Tel Aviv)](#securityhub-control-support-ilcentral1)
+ [Mexique (Centre)](#securityhub-control-support-mxcentral1)
+ [Middle East (Bahrain)](#securityhub-control-support-mesouth1)
+ [Moyen-Orient (EAU)](#securityhub-control-support-mecentral1)
+ [Amérique du Sud (São Paulo)](#securityhub-control-support-saeast1)
+ [AWS GovCloud (USA Est)](#securityhub-control-support-usgoveast1)
+ [AWS GovCloud (US-Ouest)](#securityhub-control-support-usgovwest1)
## USA Est (Virginie du Nord)
Les contrôles suivants ne sont pas pris en charge dans la région de l'Est des États-Unis (Virginie du Nord).
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
## USA Est (Ohio)
Les contrôles suivants ne sont pas pris en charge dans la région USA Est (Ohio).
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## USA Ouest (Californie du Nord)
Les contrôles suivants ne sont pas pris en charge dans la région de l'ouest des États-Unis (Californie du Nord).
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
+ [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## USA Ouest (Oregon)
Les contrôles suivants ne sont pas pris en charge dans la région de l'ouest des États-Unis (Oregon).
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Afrique (Le Cap)
Les contrôles suivants ne sont pas pris en charge dans la région Afrique (Le Cap).
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Asie-Pacifique (Hong Kong)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Hong Kong).
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Asie-Pacifique (Hyderabad)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Hyderabad).
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Asie-Pacifique (Jakarta)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Jakarta).
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Asie-Pacifique (Malaisie)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Malaisie).
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4)
+ [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
+ [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
+ [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
+ [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
+ [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
+ [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
+ [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
+ [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17)
+ [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
+ [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7)
+ [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
+ [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9)
+ [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1)
+ [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38)
+ [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39)
+ [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46)
+ [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
+ [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7)
+ [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
+ [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
+ [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)
+ [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
+ [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
+ [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Asie-Pacifique (Melbourne)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Melbourne).
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Asie-Pacifique (Mumbai)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Mumbai).
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Asie-Pacifique (Nouvelle Zélande)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Nouvelle Zélande).
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Athena.2] Les catalogues de données Athena doivent être balisés](athena-controls.md#athena-2)
+ [[Athena.3] Les groupes de travail Athena doivent être balisés](athena-controls.md#athena-3)
+ [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4)
+ [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
+ [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
+ [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
+ [[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
+ [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
+ [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
+ [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
+ [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
+ [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16)
+ [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17)
+ [[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18)
+ [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19)
+ [[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20)
+ [[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
+ [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7)
+ [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
+ [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21)
+ [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9)
+ [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1)
+ [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38)
+ [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39)
+ [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46)
+ [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
+ [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48)
+ [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50)
+ [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1)
+ [[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3)
+ [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6)
+ [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11)
+ [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13)
+ [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
+ [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7)
+ [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
+ [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
+ [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)
+ [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
+ [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
+ [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
+ [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés](transfer-controls.md#transfer-1)
+ [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Asie-Pacifique (Osaka)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Osaka).
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
+ [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Asie-Pacifique (Séoul)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Séoul).
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Asie-Pacifique (Singapour)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Singapour).
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Asie-Pacifique (Sydney)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Sydney).
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Asie-Pacifique (Taipei)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Taipei).
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[ACM.3] Les certificats ACM doivent être balisés](acm-controls.md#acm-3)
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés](apigateway-controls.md#apigateway-1)
+ [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway](apigateway-controls.md#apigateway-3)
+ [[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF](apigateway-controls.md#apigateway-4)
+ [[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos](apigateway-controls.md#apigateway-5)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Athena.2] Les catalogues de données Athena doivent être balisés](athena-controls.md#athena-2)
+ [[Athena.3] Les groupes de travail Athena doivent être balisés](athena-controls.md#athena-3)
+ [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4)
+ [[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB](autoscaling-controls.md#autoscaling-1)
+ [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
+ [[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés](autoscaling-controls.md#autoscaling-10)
+ [[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques](autoscaling-controls.md#autoscaling-5)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2)
+ [Les AWS Backup coffres-forts [Backup.3] doivent être balisés](backup-controls.md#backup-3)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Backup.5] les plans de AWS Backup sauvegarde doivent être balisés](backup-controls.md#backup-5)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.2] les CloudFormation piles doivent être étiquetées](cloudformation-controls.md#cloudformation-2)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.9] les CloudTrail sentiers doivent être balisés](cloudtrail-controls.md#cloudtrail-9)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
+ [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques](dms-controls.md#dms-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.5] Les tables DynamoDB doivent être balisées](dynamodb-controls.md#dynamodb-5)
+ [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.33] Les pièces jointes de la passerelle de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-33)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.35] Les interfaces réseau EC2 doivent être étiquetées](ec2-controls.md#ec2-35)
+ [[EC2.36] Les passerelles client EC2 doivent être étiquetées](ec2-controls.md#ec2-36)
+ [[EC2.37] Les adresses IP élastiques EC2 doivent être balisées](ec2-controls.md#ec2-37)
+ [[EC2.38] Les instances EC2 doivent être étiquetées](ec2-controls.md#ec2-38)
+ [[EC2.39] Les passerelles Internet EC2 doivent être étiquetées](ec2-controls.md#ec2-39)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.41] Le réseau EC2 doit être étiqueté ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Les tables de routage EC2 doivent être étiquetées](ec2-controls.md#ec2-42)
+ [[EC2.43] Les groupes de sécurité EC2 doivent être balisés](ec2-controls.md#ec2-43)
+ [[EC2.44] Les sous-réseaux EC2 doivent être balisés](ec2-controls.md#ec2-44)
+ [[EC2.45] Les volumes EC2 doivent être balisés](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs doit être tagué](ec2-controls.md#ec2-46)
+ [[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés](ec2-controls.md#ec2-47)
+ [[EC2.48] Les journaux de flux Amazon VPC doivent être balisés](ec2-controls.md#ec2-48)
+ [[EC2.49] Les connexions d'appairage Amazon VPC doivent être étiquetées](ec2-controls.md#ec2-49)
+ [[EC2.50] Les passerelles VPN EC2 doivent être étiquetées](ec2-controls.md#ec2-50)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.52] Les passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-52)
+ [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
+ [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
+ [[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés](ecs-controls.md#ecs-1)
+ [[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS](ecs-controls.md#ecs-2)
+ [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
+ [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
+ [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
+ [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
+ [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
+ [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.13] Les services ECS doivent être balisés](ecs-controls.md#ecs-13)
+ [[ECS.14] Les clusters ECS doivent être balisés](ecs-controls.md#ecs-14)
+ [[ECS.15] Les définitions de tâches ECS doivent être étiquetées](ecs-controls.md#ecs-15)
+ [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16)
+ [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17)
+ [[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18)
+ [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19)
+ [[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20)
+ [[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EFS.5] Les points d'accès EFS doivent être étiquetés](efs-controls.md#efs-5)
+ [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
+ [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7)
+ [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)
+ [[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public](eks-controls.md#eks-1)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
+ [[EKS.6] Les clusters EKS doivent être étiquetés](eks-controls.md#eks-6)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques](elb-controls.md#elb-7)
+ [[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8)
+ [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
+ [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF](elb-controls.md#elb-16)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21)
+ [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch](es-controls.md#es-1)
+ [[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public](es-controls.md#es-2)
+ [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch](es-controls.md#es-5)
+ [[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données](es-controls.md#es-6)
+ [[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés](es-controls.md#es-7)
+ [[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS](es-controls.md#es-8)
+ [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9)
+ [[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés](eventbridge-controls.md#eventbridge-2)
+ [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1)
+ [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés](iam-controls.md#iam-23)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[Kinesis.2] Les flux Kinesis doivent être balisés](kinesis-controls.md#kinesis-2)
+ [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance](kms-controls.md#kms-3)
+ [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Lambda.6] Les fonctions Lambda doivent être étiquetées](lambda-controls.md#lambda-6)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées](networkfirewall-controls.md#networkfirewall-8)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16)
+ [[RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés](rds-controls.md#rds-17)
+ [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18)
+ [[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster](rds-controls.md#rds-19)
+ [[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données](rds-controls.md#rds-20)
+ [[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données](rds-controls.md#rds-21)
+ [[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données](rds-controls.md#rds-22)
+ [[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données](rds-controls.md#rds-23)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.28] Les clusters de base de données RDS doivent être balisés](rds-controls.md#rds-28)
+ [[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés](rds-controls.md#rds-29)
+ [[RDS.30] Les instances de base de données RDS doivent être étiquetées](rds-controls.md#rds-30)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.32] Les instantanés de base de données RDS doivent être balisés](rds-controls.md#rds-32)
+ [[RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés](rds-controls.md#rds-33)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38)
+ [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39)
+ [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46)
+ [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
+ [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48)
+ [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50)
+ [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1)
+ [[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2)
+ [[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3)
+ [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6)
+ [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11)
+ [[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés](redshift-controls.md#redshift-12)
+ [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13)
+ [[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés](redshift-controls.md#redshift-14)
+ [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
+ [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7)
+ [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
+ [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
+ [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17)
+ [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)
+ [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
+ [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
+ [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée](secretsmanager-controls.md#secretsmanager-1)
+ [[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés](secretsmanager-controls.md#secretsmanager-2)
+ [[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager](secretsmanager-controls.md#secretsmanager-3)
+ [[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié](secretsmanager-controls.md#secretsmanager-4)
+ [[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés](secretsmanager-controls.md#secretsmanager-5)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.3] Les sujets SNS doivent être balisés](sns-controls.md#sns-3)
+ [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager](ssm-controls.md#ssm-1)
+ [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
+ [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2)
+ [Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés](transfer-controls.md#transfer-1)
+ [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [[WAF.11] La journalisation des ACL AWS WAF Web doit être activée](waf-controls.md#waf-11)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Asie-Pacifique (Thaïlande)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Thaïlande).
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Athena.2] Les catalogues de données Athena doivent être balisés](athena-controls.md#athena-2)
+ [[Athena.3] Les groupes de travail Athena doivent être balisés](athena-controls.md#athena-3)
+ [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4)
+ [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
+ [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
+ [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
+ [[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
+ [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
+ [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
+ [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
+ [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
+ [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16)
+ [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17)
+ [[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18)
+ [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19)
+ [[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20)
+ [[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
+ [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7)
+ [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
+ [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9)
+ [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1)
+ [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38)
+ [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39)
+ [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46)
+ [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
+ [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
+ [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7)
+ [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
+ [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
+ [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)
+ [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
+ [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
+ [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés](transfer-controls.md#transfer-1)
+ [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Asie-Pacifique (Tokyo)
Les contrôles suivants ne sont pas pris en charge dans la région Asie-Pacifique (Tokyo).
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Canada (Centre)
Les contrôles suivants ne sont pas pris en charge dans la région du Canada (Centre).
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Canada-Ouest (Calgary)
Les contrôles suivants ne sont pas pris en charge dans la région de l'Ouest du Canada (Calgary).
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4)
+ [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
+ [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
+ [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
+ [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
+ [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
+ [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
+ [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16)
+ [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
+ [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7)
+ [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
+ [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38)
+ [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39)
+ [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
+ [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7)
+ [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
+ [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
+ [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)
+ [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
+ [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
+ [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Chine (Pékin)
Les contrôles suivants ne sont pas pris en charge dans la région de Chine (Pékin).
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
+ [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.36] Les passerelles client EC2 doivent être étiquetées](ec2-controls.md#ec2-36)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
+ [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
+ [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21)
+ [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés](iam-controls.md#iam-23)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.7] La protection contre la suppression des clusters RDS doit être activée](rds-controls.md#rds-7)
+ [[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS](rds-controls.md#rds-12)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15)
+ [[RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-16)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.28] Les clusters de base de données RDS doivent être balisés](rds-controls.md#rds-28)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
+ [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48)
+ [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
+ [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Chine (Ningxia)
Les contrôles suivants ne sont pas pris en charge dans la région de Chine (Ningxia).
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
+ [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.36] Les passerelles client EC2 doivent être étiquetées](ec2-controls.md#ec2-36)
+ [[EC2.50] Les passerelles VPN EC2 doivent être étiquetées](ec2-controls.md#ec2-50)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
+ [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21)
+ [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3)
+ [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4)
+ [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés](iam-controls.md#iam-23)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1)
+ [[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge](lambda-controls.md#lambda-2)
+ [[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC](lambda-controls.md#lambda-3)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Lambda.6] Les fonctions Lambda doivent être étiquetées](lambda-controls.md#lambda-6)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Europe (Francfort)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Francfort).
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Europe (Irlande)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Irlande).
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Europe (Londres)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Londres).
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## Europe (Milan)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Milan).
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Europe (Paris)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Paris).
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Europe (Espagne)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Espagne).
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement](ec2-controls.md#ec2-1)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public](lambda-controls.md#lambda-1)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Europe (Stockholm)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Stockholm).
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Europe (Zurich)
Les contrôles suivants ne sont pas pris en charge dans la région Europe (Zurich).
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Israël (Tel Aviv)
Les contrôles suivants ne sont pas pris en charge dans la région d'Israël (Tel Aviv).
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[RDS.1] L'instantané RDS doit être privé](rds-controls.md#rds-1)
+ [[RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos](rds-controls.md#rds-4)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés](rds-controls.md#rds-29)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Mexique (Centre)
Les contrôles suivants ne sont pas pris en charge dans la région du Mexique (centre).
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Athena.4] La journalisation des groupes de travail Athena doit être activée](athena-controls.md#athena-4)
+ [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
+ [[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3](cloudtrail-controls.md#cloudtrail-7)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles](codebuild-controls.md#codebuild-1)
+ [[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair](codebuild-controls.md#codebuild-2)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos](codebuild-controls.md#codebuild-7)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
+ [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos](datafirehose-controls.md#datafirehose-1)
+ [[DataSync.1] la journalisation DataSync des tâches doit être activée](datasync-controls.md#datasync-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde](dynamodb-controls.md#dynamodb-4)
+ [[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée](dynamodb-controls.md#dynamodb-6)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-53)
+ [[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants](ec2-controls.md#ec2-54)
+ [[EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.171] La journalisation des connexions VPN EC2 doit être activée](ec2-controls.md#ec2-171)
+ [[EC2.172] Les paramètres d'accès public au VPC EC2 devraient bloquer le trafic de passerelle Internet](ec2-controls.md#ec2-172)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[EC2.182] Les instantanés Amazon EBS ne doivent pas être accessibles au public](ec2-controls.md#ec2-182)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
+ [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
+ [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
+ [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
+ [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
+ [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
+ [[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques](ecs-controls.md#ecs-16)
+ [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17)
+ [[ECS.18] Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS](ecs-controls.md#ecs-18)
+ [[ECS.19] Les fournisseurs de capacité ECS devraient avoir activé la protection des terminaisons gérée](ecs-controls.md#ecs-19)
+ [[ECS.20] Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux](ecs-controls.md#ecs-20)
+ [[ECS.21] Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows](ecs-controls.md#ecs-21)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement](efs-controls.md#efs-6)
+ [[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS devraient être activées](efs-controls.md#efs-7)
+ [[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos](efs-controls.md#efs-8)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés](eks-controls.md#eks-3)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
+ [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds](es-controls.md#es-3)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9)
+ [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1)
+ [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée](guardduty-controls.md#guardduty-5)
+ [[GuardDuty.6] La protection GuardDuty Lambda doit être activée](guardduty-controls.md#guardduty-6)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.10] La protection GuardDuty S3 doit être activée](guardduty-controls.md#guardduty-10)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate](kinesis-controls.md#kinesis-3)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch](mq-controls.md#mq-2)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.18] Les instances RDS doivent être déployées dans un VPC](rds-controls.md#rds-18)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde](rds-controls.md#rds-26)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-36)
+ [[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch](rds-controls.md#rds-37)
+ [[RDS.38] Les instances de base de données RDS pour PostgreSQL doivent être chiffrées pendant le transit](rds-controls.md#rds-38)
+ [[RDS.39] Les instances de base de données RDS pour MySQL doivent être chiffrées en transit](rds-controls.md#rds-39)
+ [[RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch](rds-controls.md#rds-40)
+ [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46)
+ [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
+ [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48)
+ [[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public](redshift-controls.md#redshift-1)
+ [[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit](redshift-controls.md#redshift-2)
+ [[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift](redshift-controls.md#redshift-3)
+ [[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift](redshift-controls.md#redshift-4)
+ [[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures](redshift-controls.md#redshift-6)
+ [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11)
+ [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13)
+ [[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes](redshift-controls.md#redshift-15)
+ [[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité](redshift-controls.md#redshift-16)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions](s3-controls.md#s3-7)
+ [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
+ [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
+ [[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3](s3-controls.md#s3-19)
+ [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
+ [[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets](s3-controls.md#s3-22)
+ [[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets](s3-controls.md#s3-23)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1](sagemaker-controls.md#sagemaker-4)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation](servicecatalog-controls.md#servicecatalog-1)
+ [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT](ssm-controls.md#ssm-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux](transfer-controls.md#transfer-2)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Middle East (Bahrain)
Les contrôles suivants ne sont pas pris en charge dans la région Moyen-Orient (Bahreïn).
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport](documentdb-controls.md#documentdb-6)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys](ecr-controls.md#ecr-5)
+ [[ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte](ecs-controls.md#ecs-17)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.3] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-3)
+ [[FSx.4] FSx pour NetApp ONTAP, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-4)
+ [[FSx.5] FSx pour les serveurs de fichiers Windows, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ](fsx-controls.md#fsx-5)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-10)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.41] Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit](rds-controls.md#rds-41)
+ [[RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch](rds-controls.md#rds-42)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.44] Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit](rds-controls.md#rds-44)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet](rds-controls.md#rds-46)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [[RedshiftServerless.5] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur administrateur par défaut](redshiftserverless-controls.md#redshiftserverless-5)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge](sagemaker-controls.md#sagemaker-8)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée](transfer-controls.md#transfer-3)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Moyen-Orient (EAU)
Les contrôles suivants ne sont pas pris en charge dans la région Moyen-Orient (EAU).
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos](backup-controls.md#backup-1)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles](cloudformation-controls.md#cloudformation-3)
+ [[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés](cloudformation-controls.md#cloudformation-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public](cloudtrail-controls.md#cloudtrail-6)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune](dms-controls.md#dms-10)
+ [[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé](dms-controls.md#dms-11)
+ [[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS](dms-controls.md#dms-12)
+ [[DMS.13] Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité](dms-controls.md#dms-13)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée](ec2-controls.md#ec2-4)
+ [[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389](ec2-controls.md#ec2-14)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[EC2.180] La vérification doit être activée sur les interfaces réseau EC2 source/destination](ec2-controls.md#ec2-180)
+ [[EC2.181] Les modèles de lancement EC2 devraient activer le chiffrement pour les volumes EBS attachés](ec2-controls.md#ec2-181)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS](efs-controls.md#efs-1)
+ [[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde](efs-controls.md#efs-2)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées](elb-controls.md#elb-17)
+ [[ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit](elb-controls.md#elb-18)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques](emr-controls.md#emr-1)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue](glue-controls.md#glue-4)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée](inspector-controls.md#inspector-1)
+ [[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée](inspector-controls.md#inspector-2)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé](inspector-controls.md#inspector-4)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[Lambda.7] Le suivi actif doit être activé pour les fonctions Lambda AWS X-Ray](lambda-controls.md#lambda-7)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.4] L'accès public aux clusters MSK doit être désactivé](msk-controls.md#msk-4)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié](msk-controls.md#msk-6)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée](opensearch-controls.md#opensearch-10)
+ [[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés](opensearch-controls.md#opensearch-11)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[Redshift.18] Les déploiements multi-AZ doivent être activés sur les clusters Redshift](redshift-controls.md#redshift-18)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos](sqs-controls.md#sqs-1)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM](ssm-controls.md#ssm-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## Amérique du Sud (São Paulo)
Les contrôles suivants ne sont pas pris en charge dans la région Amérique du Sud (São Paulo).
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
## AWS GovCloud (USA Est)
Les contrôles suivants ne sont pas pris en charge dans la région AWS GovCloud (USA Est).
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées](cognito-controls.md#cognito-2)
+ [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
+ [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[Connect.2] La CloudWatch journalisation des instances Amazon Connect doit être activée](connect-controls.md#connect-2)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés](ec2-controls.md#ec2-47)
+ [[EC2.52] Les passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-52)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
+ [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
+ [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
+ [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
+ [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
+ [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
+ [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21)
+ [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos](glue-controls.md#glue-3)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
+ [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48)
+ [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
+ [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
+ [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet](sagemaker-controls.md#sagemaker-1)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch](ssm-controls.md#ssm-6)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
+ [[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos](workspaces-controls.md#workspaces-1)
+ [[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos](workspaces-controls.md#workspaces-2)
## AWS GovCloud (US-Ouest)
Les contrôles suivants ne sont pas pris en charge dans la région AWS GovCloud (ouest des États-Unis).
+ [[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits](acm-controls.md#acm-2)
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation](apigateway-controls.md#apigateway-8)
+ [[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2](apigateway-controls.md#apigateway-9)
+ [[APIGateway.10] Les intégrations d'API Gateway V2 doivent utiliser le protocole HTTPS pour les connexions privées](apigateway-controls.md#apigateway-10)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.1] Les caches AWS AppSync d'API doivent être chiffrés au repos](appsync-controls.md#appsync-1)
+ [[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ](appsync-controls.md#appsync-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4)
+ [[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API](appsync-controls.md#appsync-5)
+ [[AppSync.6] Les caches AWS AppSync d'API doivent être chiffrés pendant le transport](appsync-controls.md#appsync-6)
+ [[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-2)
+ [[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité](autoscaling-controls.md#autoscaling-6)
+ [[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon](autoscaling-controls.md#autoscaling-9)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[CloudFront.17] les CloudFront distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies](cloudfront-controls.md#cloudfront-17)
+ [[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées](cloudwatch-controls.md#cloudwatch-17)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés](codebuild-controls.md#codebuild-3)
+ [[CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation](codebuild-controls.md#codebuild-4)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard](cognito-controls.md#cognito-1)
+ [[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées](cognito-controls.md#cognito-3)
+ [[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée](cognito-controls.md#cognito-4)
+ [[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-5)
+ [[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito](cognito-controls.md#cognito-6)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS](dms-controls.md#dms-6)
+ [[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée](dms-controls.md#dms-7)
+ [[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée](dms-controls.md#dms-8)
+ [[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL](dms-controls.md#dms-9)
+ [[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos](documentdb-controls.md#documentdb-1)
+ [[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate](documentdb-controls.md#documentdb-2)
+ [[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics](documentdb-controls.md#documentdb-3)
+ [[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch](documentdb-controls.md#documentdb-4)
+ [[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée](documentdb-controls.md#documentdb-5)
+ [[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos](dynamodb-controls.md#dynamodb-3)
+ [[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit](dynamodb-controls.md#dynamodb-7)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés](ec2-controls.md#ec2-22)
+ [[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC](ec2-controls.md#ec2-23)
+ [[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés](ec2-controls.md#ec2-24)
+ [[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer IPs le public aux interfaces réseau](ec2-controls.md#ec2-25)
+ [[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde](ec2-controls.md#ec2-28)
+ [[EC2.38] Les instances EC2 doivent être étiquetées](ec2-controls.md#ec2-38)
+ [[EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+ [[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2](ec2-controls.md#ec2-170)
+ [[EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés](ec2-controls.md#ec2-173)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-1)
+ [[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR](ecr-controls.md#ecr-2)
+ [[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée](ecr-controls.md#ecr-3)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte](ecs-controls.md#ecs-3)
+ [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](ecs-controls.md#ecs-4)
+ [[ECS.5] Les définitions de tâches ECS doivent configurer les conteneurs de manière à ce qu'ils soient limités à l'accès en lecture seule aux systèmes de fichiers racine](ecs-controls.md#ecs-5)
+ [[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur](ecs-controls.md#ecs-8)
+ [[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation](ecs-controls.md#ecs-9)
+ [[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate](ecs-controls.md#ecs-10)
+ [[ECS.12] Les clusters ECS doivent utiliser Container Insights](ecs-controls.md#ecs-12)
+ [[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine](efs-controls.md#efs-3)
+ [[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur](efs-controls.md#efs-4)
+ [[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge](eks-controls.md#eks-2)
+ [[EKS.8] La journalisation des audits doit être activée sur les clusters EKS](eks-controls.md#eks-8)
+ [[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité](elb-controls.md#elb-10)
+ [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-12)
+ [[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité](elb-controls.md#elb-13)
+ [[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](elb-controls.md#elb-14)
+ [[ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés](elb-controls.md#elb-21)
+ [[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés](elb-controls.md#elb-22)
+ [[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées](elasticache-controls.md#elasticache-1)
+ [[ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters](elasticache-controls.md#elasticache-2)
+ [[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication](elasticache-controls.md#elasticache-3)
+ [[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos](elasticache-controls.md#elasticache-4)
+ [[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport](elasticache-controls.md#elasticache-5)
+ [[ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé](elasticache-controls.md#elasticache-6)
+ [[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut](elasticache-controls.md#elasticache-7)
+ [[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)
+ [[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé](emr-controls.md#emr-2)
+ [[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos](emr-controls.md#emr-3)
+ [[EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport](emr-controls.md#emr-4)
+ [[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée](es-controls.md#es-4)
+ [[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources](eventbridge-controls.md#eventbridge-3)
+ [[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux](eventbridge-controls.md#eventbridge-4)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes](fsx-controls.md#fsx-1)
+ [[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes](fsx-controls.md#fsx-2)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée](guardduty-controls.md#guardduty-7)
+ [[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée](guardduty-controls.md#guardduty-8)
+ [[GuardDuty.9] La protection GuardDuty RDS doit être activée](guardduty-controls.md#guardduty-9)
+ [[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée](guardduty-controls.md#guardduty-11)
+ [[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée](guardduty-controls.md#guardduty-12)
+ [[GuardDuty.13] La surveillance du temps d'exécution GuardDuty EC2 doit être activée](guardduty-controls.md#guardduty-13)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé](iam-controls.md#iam-28)
+ [[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée](inspector-controls.md#inspector-3)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos](kinesis-controls.md#kinesis-1)
+ [[KMS.5] Les clés KMS ne doivent pas être accessibles au public](kms-controls.md#kms-5)
+ [[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité](lambda-controls.md#lambda-5)
+ [[Macie.1] Amazon Macie devrait être activé](macie-controls.md#macie-1)
+ [[Macie.2] La découverte automatique des données sensibles par Macie doit être activée](macie-controls.md#macie-2)
+ [[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby](mq-controls.md#mq-5)
+ [[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster](mq-controls.md#mq-6)
+ [[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker](msk-controls.md#msk-1)
+ [[MSK.2] La surveillance améliorée des clusters MSK doit être configurée](msk-controls.md#msk-2)
+ [[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport](msk-controls.md#msk-3)
+ [[MSK.5] La journalisation des connecteurs MSK doit être activée](msk-controls.md#msk-5)
+ [[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-1)
+ [[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch](neptune-controls.md#neptune-2)
+ [[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics](neptune-controls.md#neptune-3)
+ [[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée](neptune-controls.md#neptune-4)
+ [[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées](neptune-controls.md#neptune-5)
+ [[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos](neptune-controls.md#neptune-6)
+ [[Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune](neptune-controls.md#neptune-7)
+ [[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés](neptune-controls.md#neptune-8)
+ [[Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité](neptune-controls.md#neptune-9)
+ [[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité](networkfirewall-controls.md#networkfirewall-1)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets](networkfirewall-controls.md#networkfirewall-4)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall](networkfirewall-controls.md#networkfirewall-9)
+ [Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]](opensearch-controls.md#opensearch-1)
+ [Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public](opensearch-controls.md#opensearch-2)
+ [[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds](opensearch-controls.md#opensearch-3)
+ [[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée](opensearch-controls.md#opensearch-4)
+ [[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines](opensearch-controls.md#opensearch-5)
+ [Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données](opensearch-controls.md#opensearch-6)
+ [Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé](opensearch-controls.md#opensearch-7)
+ [[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS](opensearch-controls.md#opensearch-8)
+ [[PCA.1] L'autorité de certification AWS CA privée racine doit être désactivée](pca-controls.md#pca-1)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora](rds-controls.md#rds-14)
+ [[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité](rds-controls.md#rds-15)
+ [[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-24)
+ [[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé](rds-controls.md#rds-25)
+ [[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos](rds-controls.md#rds-27)
+ [[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch](rds-controls.md#rds-34)
+ [[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée](rds-controls.md#rds-35)
+ [[RDS.43] Les proxys de base de données RDS devraient exiger le cryptage TLS pour les connexions](rds-controls.md#rds-43)
+ [[RDS.45] La journalisation des audits doit être activée sur les clusters de base de données Aurora MySQL](rds-controls.md#rds-45)
+ [[RDS.47] Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-47)
+ [[RDS.48] Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données](rds-controls.md#rds-48)
+ [[RDS.50] Les clusters de base de données RDS doivent avoir une période de rétention des sauvegardes suffisamment définie](rds-controls.md#rds-50)
+ [[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré](redshift-controls.md#redshift-7)
+ [[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut](redshift-controls.md#redshift-8)
+ [[Redshift.10] Les clusters Redshift doivent être chiffrés au repos](redshift-controls.md#redshift-10)
+ [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11)
+ [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[RedshiftServerless.1] Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré](redshiftserverless-controls.md#redshiftserverless-1)
+ [[RedshiftServerless.2] Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL](redshiftserverless-controls.md#redshiftserverless-2)
+ [[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public](redshiftserverless-controls.md#redshiftserverless-3)
+ [[RedshiftServerless.6] Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie](s3-controls.md#s3-10)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général](s3-controls.md#s3-12)
+ [[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-13)
+ [[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée](s3-controls.md#s3-20)
+ [[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés](s3-controls.md#s3-24)
+ [[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie](s3-controls.md#s3-25)
+ [[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé](sagemaker-controls.md#sagemaker-2)
+ [[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes](sagemaker-controls.md#sagemaker-3)
+ [[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles](sagemaker-controls.md#sagemaker-5)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SageMaker.9] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-9)
+ [[SageMaker.10] le chiffrement du trafic inter-conteneurs doit être activé dans les définitions des tâches d'explicabilité du SageMaker modèle](sagemaker-controls.md#sagemaker-10)
+ [[SageMaker.11] l'isolation du réseau doit être activée dans les définitions des tâches liées à la qualité des SageMaker données](sagemaker-controls.md#sagemaker-11)
+ [[SageMaker.12] Les définitions des tâches liées au biais du SageMaker modèle devraient avoir l'isolation du réseau activée](sagemaker-controls.md#sagemaker-12)
+ [[SageMaker.13] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées à la qualité du SageMaker modèle](sagemaker-controls.md#sagemaker-13)
+ [[SageMaker.14] l'isolation du réseau doit être activée dans les calendriers de SageMaker surveillance](sagemaker-controls.md#sagemaker-14)
+ [[SageMaker.15] le chiffrement du trafic entre conteneurs doit être activé dans les définitions des tâches liées au biais du SageMaker modèle](sagemaker-controls.md#sagemaker-15)
+ [[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES](ses-controls.md#ses-3)
+ [[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public](sns-controls.md#sns-4)
+ [[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public](sqs-controls.md#sqs-3)
+ [[SSM.4] Les documents du SSM ne doivent pas être publics](ssm-controls.md#ssm-4)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée](stepfunctions-controls.md#stepfunctions-1)
+ [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-2)
+ [[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-3)
+ [[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-4)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)
+ [[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles](waf-controls.md#waf-10)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)
# Création de ressources Security Hub CSPM avec CloudFormation
AWS Security Hub CSPM s'intègre AWS CloudFormationà un service qui vous aide à modéliser et à configurer vos AWS ressources afin que vous puissiez passer moins de temps à créer et à gérer vos ressources et votre infrastructure. Vous créez un modèle qui décrit toutes les AWS ressources que vous souhaitez (telles que les règles d'automatisation), et CloudFormation qui fournit et configure ces ressources pour vous.
Lorsque vous l'utilisez CloudFormation, vous pouvez réutiliser votre modèle pour configurer vos ressources Security Hub CSPM de manière cohérente et répétée. Décrivez vos ressources une seule fois, puis distribuez les mêmes ressources encore et encore dans plusieurs Comptes AWS régions.
## Security Hub (CSPM) et modèles CloudFormation
Pour fournir et configurer des ressources pour Security Hub CSPM et les services associés, vous devez comprendre le fonctionnement des [CloudFormation modèles](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html). Les modèles sont des fichiers texte au format JSON ou YAML. Ces modèles décrivent les ressources que vous souhaitez mettre à disposition dans vos CloudFormation piles.
Si vous n'êtes pas familiarisé avec JSON ou YAML, vous pouvez utiliser CloudFormation Designer pour vous aider à démarrer avec les CloudFormation modèles. Pour plus d'informations, voir [Qu'est-ce que CloudFormation Designer ?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html) dans le *guide de AWS CloudFormation l'utilisateur*.
Vous pouvez créer des CloudFormation modèles pour les types de ressources CSPM du Security Hub suivants :
+ Activation du Security Hub CSPM
+ Désignation de l'administrateur Security Hub CSPM délégué pour une organisation
+ Spécifiez la façon dont votre organisation est configurée dans Security Hub CSPM
+ Mise en place d'une norme de sécurité
+ Activation de l'agrégation entre régions
+ Création d'une politique de configuration centrale et association de celle-ci aux comptes, à l'unité organisationnelle (OUs) ou à la racine
+ Création d'un aperçu personnalisé
+ Création d'une règle d'automatisation
+ Personnalisation des paramètres de contrôle
+ Souscription à l'intégration d'un produit tiers
*Pour plus d'informations, notamment des exemples de modèles JSON et YAML pour les ressources, consultez la [référence au type de ressource AWS Security Hub CSPM](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SecurityHub.html) dans le guide de l'AWS CloudFormation utilisateur.*
## En savoir plus sur CloudFormation
Pour en savoir plus CloudFormation, consultez les ressources suivantes :
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation Guide de l'utilisateur](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API Reference](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation Guide de l'utilisateur de l'interface de ligne de commande](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)
# Abonnement aux annonces CSPM de Security Hub avec Amazon SNS
Cette section fournit des informations sur l'abonnement aux annonces AWS Security Hub CSPM auprès d'Amazon Simple Notification Service (Amazon SNS) afin de recevoir des notifications concernant Security Hub CSPM.
Après votre inscription, vous recevrez des notifications concernant les événements suivants (notez les informations correspondantes `AnnouncementType` pour chaque événement) :
+ `GENERAL`— Notifications générales concernant le service Security Hub CSPM.
+ `UPCOMING_STANDARDS_CONTROLS`— Les contrôles ou normes CSPM spécifiques du Security Hub seront bientôt publiés. Ce type d'annonce vous aide à préparer les flux de travail de réponse et de correction avant une publication.
+ `NEW_REGIONS`— Support pour Security Hub CSPM est disponible dans une nouvelle version. Région AWS
+ `NEW_STANDARDS_CONTROLS`— De nouveaux contrôles ou normes CSPM du Security Hub ont été ajoutés.
+ `UPDATED_STANDARDS_CONTROLS`— Les contrôles ou normes CSPM existants du Security Hub ont été mis à jour.
+ `RETIRED_STANDARDS_CONTROLS`— Les contrôles ou normes CSPM existants du Security Hub ont été retirés.
+ `UPDATED_ASFF`— La syntaxe, les champs ou les valeurs du format ASFF ( AWS Security Finding Format) ont été mis à jour.
+ `NEW_INTEGRATION`— De nouvelles intégrations avec d'autres AWS services ou produits tiers sont disponibles.
+ `NEW_FEATURE`— De nouvelles fonctionnalités du Security Hub CSPM sont disponibles.
+ `UPDATED_FEATURE`— Les fonctionnalités existantes du Security Hub CSPM ont été mises à jour.
Les notifications sont proposées dans tous les formats pris en charge par Amazon SNS. Vous pouvez vous abonner aux annonces de Security Hub CSPM dans tous les sites où [Régions AWS Security Hub CSPM](https://docs.aws.amazon.com/general/latest/gr/sechub.html) est disponible.
Un utilisateur doit être `Subscribe` autorisé à s'abonner à une rubrique Amazon SNS. Vous pouvez y parvenir avec les politiques Amazon SNS, les politiques IAM ou les deux. Pour plus d'informations, consultez les [politiques IAM et Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-using-identity-based-policies.html#iam-and-sns-policies) réunies dans le guide du développeur *Amazon Simple Notification Service*.
**Note**
Security Hub CSPM envoie à tous les abonnés des annonces Amazon SNS concernant les mises à jour du service Security Hub CSPM. Compte AWS Pour recevoir des notifications concernant les résultats du Security Hub CSPM, consultez. [Révision des informations et de l'historique des recherches dans Security Hub CSPM](securityhub-findings-viewing.md)
Vous pouvez vous abonner à une file d'attente Amazon Simple Queue Service (Amazon SQS) pour un sujet Amazon SNS, mais vous devez utiliser le nom de ressource Amazon (ARN) d'un sujet Amazon SNS situé dans la même région. Pour plus d'informations, consultez la section [Abonnement d'une file d'attente à une rubrique Amazon SNS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-subscribe-queue-sns-topic.html) dans le manuel *Amazon Simple Queue Service* Developer Guide.
Vous pouvez également utiliser une AWS Lambda fonction pour invoquer des événements lorsque vous recevez des notifications. Pour plus d'informations, y compris un exemple de code de fonction, consultez [Tutoriel : Utilisation AWS Lambda avec Amazon Simple Notification Service](https://docs.aws.amazon.com/lambda/latest/dg/with-sns-example.html) dans le *manuel du AWS Lambda développeur*.
Les rubriques Amazon SNS ARNs pour chaque région sont les suivantes.
| Région AWS | ARN de rubrique Amazon SNS |
| --- | --- |
| USA Est (Ohio) | arn:aws:sns:us-east-2:291342846459:SecurityHubAnnouncements |
| USA Est (Virginie du Nord) | arn:aws:sns:us-east-1:088139225913:SecurityHubAnnouncements |
| USA Ouest (Californie du Nord) | arn:aws:sns:us-west-1:137690824926:SecurityHubAnnouncements |
| USA Ouest (Oregon) | arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements |
| Afrique (Le Cap) | arn:aws:sns:af-south-1:463142546776:SecurityHubAnnouncements |
| Asie-Pacifique (Hong Kong) | arn:aws:sns:ap-east-1:464812404305:SecurityHubAnnouncements |
| Asie-Pacifique (Hyderabad) | arn:aws:sns:ap-south-2:849907286123:SecurityHubAnnouncements |
| Asie-Pacifique (Jakarta) | arn:aws:sns:ap-southeast-3:627843640627:SecurityHubAnnouncements |
| Asie-Pacifique (Mumbai) | arn:aws:sns:ap-south-1:707356269775:SecurityHubAnnouncements |
| Asie-Pacifique (Osaka) | arn:aws:sns:ap-northeast-3:633550238216:SecurityHubAnnouncements |
| Asia Pacific (Seoul) | arn:aws:sns:ap-northeast-2:374299265323:SecurityHubAnnouncements |
| Asie-Pacifique (Singapour) | arn:aws:sns:ap-southeast-1:512267288502:SecurityHubAnnouncements |
| Asie-Pacifique (Sydney) | arn:aws:sns:ap-southeast-2:475730049140:SecurityHubAnnouncements |
| Asie-Pacifique (Tokyo) | arn:aws:sns:ap-northeast-1:592469075483:SecurityHubAnnouncements |
| Canada (Centre) | arn:aws:sns:ca-central-1:137749997395:SecurityHubAnnouncements |
| Chine (Pékin) | arn:aws-cn:sns:cn-north-1:672341567257:SecurityHubAnnouncements |
| China (Ningxia) | arn:aws-cn:sns:cn-northwest-1:672534482217:SecurityHubAnnouncements |
| Europe (Francfort) | arn:aws:sns:eu-central-1:871975303681:SecurityHubAnnouncements |
| Europe (Irlande) | arn:aws:sns:eu-west-1:705756202095:SecurityHubAnnouncements |
| Europe (Londres) | arn:aws:sns:eu-west-2:883600840440:SecurityHubAnnouncements |
| Europe (Milan) | arn:aws:sns:eu-south-1:151363035580:SecurityHubAnnouncements |
| Europe (Paris) | arn:aws:sns:eu-west-3:313420042571:SecurityHubAnnouncements |
| Europe (Espagne) | arn:aws:sns:eu-south-2:777487947751:SecurityHubAnnouncements |
| Europe (Stockholm) | arn:aws:sns:eu-north-1:191971010772:SecurityHubAnnouncements |
| Europe (Zurich) | arn:aws:sns:eu-central-2:704347005078:SecurityHubAnnouncements |
| Israël (Tel Aviv) | arn:aws:sns:il-central-1:726652212146:SecurityHubAnnouncements |
| Middle East (Bahrain) | arn:aws:sns:me-south-1:585146626860:SecurityHubAnnouncements |
| Moyen-Orient (EAU) | arn:aws:sns:me-central-1:431548502100:SecurityHubAnnouncements |
| Amérique du Sud (São Paulo) | arn:aws:sns:sa-east-1:359811883282:SecurityHubAnnouncements |
| AWS GovCloud (USA Est) | arn:aws-us-gov:sns:us-gov-east-1:239368469855:SecurityHubAnnouncements |
| AWS GovCloud (US-Ouest) | arn:aws-us-gov:sns:us-gov-west-1:239334163374:SecurityHubAnnouncements |
Les messages sont généralement les mêmes d'une région à l'autre au sein d'une [partition](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Vous pouvez donc vous abonner à une région de chaque partition pour recevoir des annonces concernant toutes les régions de cette partition. Les annonces associées aux comptes des membres ne sont pas répliquées dans le compte administrateur. Par conséquent, chaque compte, y compris le compte administrateur, ne disposera que d'une copie de chaque annonce. Vous pouvez choisir le compte que vous souhaitez utiliser pour vous abonner aux annonces du Security Hub CSPM.
[Pour plus d'informations sur le coût de l'abonnement aux annonces CSPM de Security Hub, consultez la tarification d'Amazon SNS.](https://aws.amazon.com/sns/pricing/)
**Abonnement aux annonces CSPM de Security Hub (console)**
1. [Ouvrez la console Amazon SNS à l'adresse v3/home. https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)
1. Dans la liste des régions, choisissez la région dans laquelle vous souhaitez vous abonner aux annonces du Security Hub CSPM. L'exemple utilise la région `us-west-2`.
1. Dans le panneau de navigation, choisissez **Abonnements**, puis **Créer un abonnement**.
1. Entrez l'ARN du sujet dans le champ **ARN du sujet**. Par exemple, `arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements`.
1. Dans **Protocol**, choisissez la manière dont vous souhaitez recevoir les annonces du Security Hub CSPM. Si vous choisissez **E-mail**, pour **Endpoint**, entrez l'adresse e-mail que vous souhaitez utiliser pour recevoir les annonces.
1. Choisissez **Créer un abonnement**.
1. Confirmez votre abonnement. Par exemple, si vous avez choisi le protocole e-mail, Amazon SNS enverra un message de confirmation d'abonnement à l'adresse e-mail que vous avez fournie.
**Abonnement aux annonces CSPM de Security Hub ()AWS CLI**
1. Exécutez la commande suivante :
```
aws sns --region us-west-2 subscribe --topic-arn arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements --protocol email --notification-endpoint your_email@your_domain.com
```
1. Confirmez votre abonnement. Par exemple, si vous avez choisi le protocole e-mail, Amazon SNS enverra un message de confirmation d'abonnement à l'adresse e-mail que vous avez fournie.
## Format du message Amazon SNS
Les exemples suivants montrent les annonces du Security Hub CSPM d'Amazon SNS concernant l'introduction de nouveaux contrôles de sécurité. Le contenu des messages varie en fonction du type d'annonce, mais le format est le même pour tous les types d'annonce. Facultativement, un `Link` champ fournissant des détails sur l'annonce peut être inclus.
**Exemple : annonce du Security Hub CSPM concernant de nouveaux contrôles (protocole de courrier électronique)**
```
{
"AnnouncementType":"NEW_STANDARDS_CONTROLS",
"Title":"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard",
"Description":"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9),
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured Security Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. "
}
```
**Exemple : annonce CSPM du Security Hub concernant de nouveaux contrôles (protocole Email-JSON)**
```
{
"Type" : "Notification",
"MessageId" : "d124c9cf-326a-5931-9263-92a92e7af49f",
"TopicArn" : "arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements",
"Message" : "{\"AnnouncementType\":\"NEW_STANDARDS_CONTROLS\",\"Title\":\"[New Controls] 36 new Security Hub CSPM controls added to the AWS Foundational Security Best Practices standard\",\"Description\":\"We have added 36 new controls to the AWS Foundational Security Best Practices standard. These include controls for Amazon Auto Scaling (AutoScaling.3, AutoScaling.4, AutoScaling.6), CloudFormation (CloudFormation.1), Amazon CloudFront (CloudFront.10), Amazon Elastic Compute Cloud (Amazon EC2) (EC2.23, EC2.24, EC2.27), Amazon Elastic Container Registry (Amazon ECR) (ECR.1, ECR.2), Amazon Elastic Container Service (Amazon ECS) (ECS.3, ECS.4, ECS.5, ECS.8, ECS.10, ECS.12), Amazon Elastic File System (Amazon EFS) (EFS.3, EFS.4), Amazon Elastic Kubernetes Service (Amazon EKS) (EKS.2), Elastic Load Balancing (ELB.12, ELB.13, ELB.14), Amazon Kinesis (Kinesis.1), AWS Network Firewall (NetworkFirewall.3, NetworkFirewall.4, NetworkFirewall.5), Amazon OpenSearch Service (OpenSearch.7), Amazon Redshift (Redshift.9),
Amazon Simple Storage Service (Amazon S3) (S3.13), Amazon Simple Notification Service (SNS.2), AWS WAF (WAF.2, WAF.3, WAF.4, WAF.6, WAF.7, WAF.8). If you enabled the AWS Foundational Security Best Practices standard in an account and configured SSecurity Hub CSPM to automatically enable new controls, these controls are enabled by default. Availability of controls can vary by Region. \"}",
"Timestamp" : "2022-08-04T19:11:12.652Z",
"SignatureVersion" : "1",
"Signature" : "HTHgNFRYMetCvisulgLM4CVySvK9qCXFPHQDxYl9tuCFQuIrd7YO4m4YFR28XKMgzqrF20YP+EilipUm2SOTpEEtOTekU5bn74+YmNZfwr4aPFx0vUuQCVOshmHl37hjkiLjhCg/t53QQiLfP7MH+MTXIUPR37k5SuFCXvjpRQ8ynV532AH3Wpv0HmojDLMg+eg51V1fUsOG8yiJVCBEJhJ1yS+gkwJdhRk2UQab9RcAmE6COK3hRWcjDwqTXz5nR6Ywv1ZqZfLIl7gYKslt+jsyd/k+7kOqGmOJRDr7qhE7H+7vaGRLOptsQnbW8VmeYnDbahEO8FV+Mp1rpV+7Qg==",
"SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-56e67fcb41f6fec09b0196692625d385.pem",
"UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:393883065485:SecurityHubAnnouncements:9d0230d7-d582-451d-9f15-0c32818bf61f"
}
```
# Désactivation du Security Hub CSPM
Vous pouvez désactiver AWS Security Hub CSPM à l'aide de la console Security Hub CSPM ou de l'API Security Hub. Si vous désactivez Security Hub CSPM, vous pourrez le réactiver ultérieurement.
Si votre organisation utilise une configuration centralisée, l'administrateur délégué du Security Hub CSPM peut créer des politiques de configuration qui désactivent le Security Hub CSPM pour des comptes et des unités organisationnelles spécifiques (OUs) et permettent de maintenir le Security Hub CSPM activé pour les autres. Les politiques de configuration affectent la région d'origine et toutes les régions associées. Pour de plus amples informations, veuillez consulter [Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).
Si vous désactivez Security Hub CSPM pour un compte, voici ce qui se produit :
+ Toutes les normes et contrôles CSPM du Security Hub sont désactivés pour le compte.
+ Security Hub CSPM arrête de générer, de mettre à jour et d'ingérer les résultats du compte.
+ Au bout de 30 jours, Security Hub CSPM supprime définitivement tous les résultats archivés existants pour le compte. Les résultats ne peuvent pas être récupérés à l'aide de Security Hub CSPM.
+ Au bout de 90 jours, Security Hub CSPM supprime définitivement tous les résultats actifs existants pour le compte. Les résultats ne peuvent pas être récupérés à l'aide de Security Hub CSPM.
+ Au bout de 90 jours, Security Hub CSPM supprime définitivement toutes les informations existantes et les paramètres de configuration du Security Hub CSPM pour le compte. Les données et les paramètres ne peuvent pas être récupérés.
Pour conserver les résultats existants, vous pouvez les exporter vers un compartiment S3 avant de désactiver Security Hub CSPM. Vous pouvez le faire en utilisant une action personnalisée avec une EventBridge règle Amazon. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md).
Si vous réactivez Security Hub CSPM dans les 90 jours suivant sa désactivation pour un compte, vous retrouvez l'accès aux résultats actifs existants, ainsi qu'aux informations et aux paramètres de configuration du Security Hub CSPM pour le compte. Si vous réactivez Security Hub CSPM dans les 30 jours, vous retrouverez également l'accès aux résultats archivés existants pour le compte. Cependant, les résultats existants peuvent être inexacts car ils refléteront l'état de votre AWS environnement lorsque vous avez désactivé Security Hub CSPM. En outre, lorsque vous réactivez des normes et des contrôles individuels, Security Hub CSPM peut initialement générer des résultats dupliqués pour des AWS ressources spécifiques, en fonction des normes et des contrôles que vous activez. Pour ces raisons, nous vous recommandons d'effectuer l'une des opérations suivantes :
+ Modifiez le statut du flux de travail de tous les résultats existants sur « `RESOLVED` Avant de désactiver Security Hub CSPM ». Pour de plus amples informations, veuillez consulter [Définition de l'état des résultats dans le flux de travail](findings-workflow-status.md).
+ Désactivez toutes les normes au moins six jours avant de désactiver Security Hub CSPM. Security Hub CSPM archive ensuite tous les résultats existants dans la mesure du possible, généralement dans un délai de trois à cinq jours. Pour de plus amples informations, veuillez consulter [Désactiver une norme](disable-standards.md).
Vous ne pouvez pas désactiver Security Hub CSPM dans les cas suivants :
+ Votre compte est le compte administrateur délégué du Security Hub CSPM d'une organisation. Si vous utilisez la configuration centralisée, vous ne pouvez pas associer de politique de configuration qui désactive Security Hub CSPM pour le compte d'administrateur délégué. L'association peut réussir pour d'autres comptes, mais Security Hub CSPM n'applique pas la politique au compte d'administrateur délégué.
+ Votre compte est un compte administrateur Security Hub CSPM sur invitation, et vous avez des comptes de membre. Avant de désactiver Security Hub CSPM, vous devez dissocier tous les comptes de vos membres. Pour savoir comment procéder, consultez [Dissociation des comptes membres dans Security Hub CSPM](securityhub-disassociate-members.md).
Avant que le propriétaire d'un compte membre puisse désactiver Security Hub CSPM, le compte doit se dissocier de son compte administrateur. Pour un compte d'organisation, seul le compte administrateur peut dissocier un compte membre. Pour de plus amples informations, veuillez consulter [Dissocier les comptes membres du Security Hub CSPM de votre organisation](accounts-orgs-disassociate.md). Pour un compte invité manuellement, le compte administrateur ou le compte membre peut dissocier le compte. Pour plus d’informations, consultez [Dissociation des comptes membres dans Security Hub CSPM](securityhub-disassociate-members.md) ou [Dissociation d'un compte administrateur Security Hub CSPM](securityhub-disassociate-from-admin.md). La dissociation n'est pas requise si vous utilisez la configuration centralisée, car l'administrateur du Security Hub CSPM peut créer une politique qui désactive le Security Hub CSPM pour des comptes de membres spécifiques.
Lorsque vous désactivez Security Hub CSPM pour un compte, celui-ci est désactivé uniquement pour le moment. Région AWS Toutefois, si vous utilisez la configuration centrale pour désactiver Security Hub CSPM pour des comptes spécifiques, il est désactivé dans la région d'origine et dans toutes les régions associées.
Pour désactiver Security Hub CSPM, choisissez votre méthode préférée et suivez les étapes.
------
#### [ Security Hub CSPM console ]
Procédez comme suit pour désactiver Security Hub CSPM à l'aide de la console.
**Pour désactiver Security Hub CSPM**
1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Dans le volet de navigation, sous **Paramètres**, choisissez **Général**.
1. Dans la section **Disable Security Hub CSPM**, choisissez **Disable Security Hub** CSPM.
1. Lorsque vous êtes invité à confirmer, choisissez **Disable Security Hub CSPM**.
------
#### [ Security Hub API ]
Pour désactiver Security Hub CSPM par programmation, utilisez l'API [DisableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHub.html)Security Hub AWS . Ou, si vous utilisez le AWS CLI, exécutez la [disable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-security-hub.html)commande. Par exemple, la commande suivante désactive Security Hub CSPM dans le système actuel : Région AWS
```
$ aws securityhub disable-security-hub
```
------
# Sécurité dans AWS Security Hub CSPM
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Security Hub CSPM, veuillez consulter [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) (français non garanti).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de Security Hub CSPM. Les rubriques suivantes expliquent comment configurer Security Hub CSPM pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources Security Hub CSPM.
**Topics**
+ [Protection des données dans AWS Security Hub CSPM](data-protection.md)
+ [AWS Identity and Access Management pour Security Hub CSPM](security-iam.md)
+ [Validation de conformité pour AWS Security Hub CSPM](securityhub-compliance.md)
+ [Résilience dans AWS Security Hub](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans AWS Security Hub CSPM](infrastructure-security.md)
+ [AWS Security Hub CSPM et points de terminaison VPC d'interface ()AWS PrivateLink](security-vpc-endpoints.md)
# Protection des données dans AWS Security Hub CSPM
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS Security Hub CSPM. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Security Hub CSPM ou autre à Services AWS l'aide de la console, de l'API ou. AWS CLI AWS SDKs Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
Security Hub CSPM est une offre de service multi-locataires. Pour garantir la protection des données, Security Hub CSPM chiffre les données au repos et les données en transit entre les services des composants.
# AWS Identity and Access Management pour Security Hub CSPM
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources du Security Hub. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Security Hub fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité pour AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
+ [Rôles liés à un service pour AWS Security Hub CSPM](using-service-linked-roles.md)
+ [AWS politiques gérées pour Security Hub](security-iam-awsmanpol.md)
+ [Résolution des problèmes AWS Security Hub CSPM d'identité et d'accès](security_iam_troubleshoot.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes AWS Security Hub CSPM d'identité et d'accès](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Security Hub fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour AWS Security Hub CSPM](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Security Hub fonctionne avec IAM
Avant d'utiliser Gestion des identités et des accès AWS (IAM) pour gérer l'accès à AWS Security Hub CSPM, découvrez quelles fonctionnalités IAM peuvent être utilisées avec Security Hub CSPM.
**Fonctionnalités IAM que vous pouvez utiliser avec AWS Security Hub CSPM**
| Fonctionnalité IAM | Assistance CSPM pour Security Hub |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Non |
| [Clés de condition de politique](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [Listes de contrôle d'accès (ACLs)](#security_iam_service-with-iam-acls) | Non |
| [Contrôle d'accès basé sur les attributs (ABAC) : balises dans les politiques](#security_iam_service-with-iam-tags) | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Transmission des sessions d’accès (FAS)](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles du service](#security_iam_service-with-iam-roles-service) | Non |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
*Pour obtenir une vue d'ensemble de la façon dont Security Hub CSPM et les autres fonctionnalités Services AWS fonctionnent avec la plupart des fonctionnalités IAM, consultez le guide de l'[Services AWS utilisateur IAM consacré à la compatibilité avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Politiques basées sur l'identité pour Security Hub CSPM
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
Security Hub CSPM prend en charge les politiques basées sur l'identité. Pour de plus amples informations, veuillez consulter [Exemples de politiques basées sur l'identité pour AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Politiques basées sur les ressources pour Security Hub CSPM
**Prend en charge les politiques basées sur les ressources :** non
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
Security Hub CSPM ne prend pas en charge les politiques basées sur les ressources. Vous ne pouvez pas associer une politique IAM directement à une ressource Security Hub CSPM.
## Actions politiques pour Security Hub CSPM
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de stratégie dans Security Hub CSPM utilisent le préfixe suivant avant l'action :
```
securityhub:
```
Par exemple, pour autoriser un utilisateur à activer Security Hub CSPM, qui est une action correspondant au `EnableSecurityHub` fonctionnement de l'API Security Hub CSPM, incluez cette `securityhub:EnableSecurityHub` action dans sa politique. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. Security Hub CSPM définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
```
"Action": "securityhub:EnableSecurityHub"
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules. Par exemple :
```
"Action": [
"securityhub:EnableSecurityHub",
"securityhub:BatchEnableStandards"
```
Vous pouvez également spécifier plusieurs actions à l'aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Get`, incluez l’action suivante :
```
"Action": "securityhub:Get*"
```
Cependant, une bonne pratique consiste à créer des stratégies qui suivent le principe du moindre privilège. En d'autres termes, vous devez créer des stratégies qui incluent uniquement les autorisations requises pour effectuer une tâche spécifique.
L'utilisateur doit avoir accès à l'`DescribeStandardsControl`opération pour avoir accès à `BatchGetSecurityControls``BatchGetStandardsControlAssociations`, et`ListStandardsControlAssociations`.
L'utilisateur doit avoir accès à l'`UpdateStandardsControls`opération pour avoir accès à`BatchUpdateStandardsControlAssociations`, et`UpdateSecurityControl`.
Pour obtenir la liste des actions CSPM de Security Hub, consultez la section [Actions définies par AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) dans le *Service Authorization Reference*. Pour des exemples de politiques qui spécifient les actions CSPM du Security Hub, consultez. [Exemples de politiques basées sur l'identité pour AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
## Ressources relatives aux politiques pour Security Hub CSPM
**Prend en charge les ressources de politique :** non
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Security Hub CSPM définit les types de ressources suivants :
+ Hub
+ Produit (langue française non garantie)
+ Agrégateur de recherche, également appelé agrégateur *interrégional*
+ Règle d'automatisation
+ Politique de configuration
Vous pouvez spécifier ces types de ressources dans les politiques en utilisant ARNs.
Pour obtenir la liste des types de ressources Security Hub CSPM et la syntaxe ARN de chacun d'entre eux, consultez la section [Types de ressources définis par AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) dans le *Service Authorization Reference*. Pour savoir quelles actions vous pouvez spécifier pour chaque type de ressource, consultez la section [Actions définies par AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) dans la *référence d'autorisation de service*. Pour des exemples de politiques qui spécifient les ressources, voir[Exemples de politiques basées sur l'identité pour AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Clés de conditions de politique pour Security Hub CSPM
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour obtenir la liste des clés de condition CSPM de Security Hub, reportez-vous à la section Clés de [condition correspondant AWS Security Hub CSPMà](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) la référence *d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la section [Actions définies par AWS Security Hub CSPM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions). Pour des exemples de politiques utilisant des clés de condition, consultez[Exemples de politiques basées sur l'identité pour AWS Security Hub CSPM](security_iam_id-based-policy-examples.md).
## Listes de contrôle d'accès (ACLs) dans Security Hub CSPM
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Security Hub CSPM n'est pas compatible ACLs, ce qui signifie que vous ne pouvez pas associer une ACL à une ressource Security Hub CSPM.
## Contrôle d'accès basé sur les attributs (ABAC) avec Security Hub CSPM
**Prise en charge d’ABAC (balises dans les politiques) :** Oui
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
Vous pouvez associer des balises aux ressources CSPM du Security Hub. Vous pouvez également contrôler l'accès aux ressources en fournissant des informations de balise dans l'`Condition`élément d'une politique.
Pour plus d'informations sur le balisage des ressources CSPM du Security Hub, consultez. [Balisage des ressources du Security Hub](tagging-resources.md) Pour un exemple de politique basée sur l'identité qui contrôle l'accès à une ressource en fonction de balises, consultez. [Exemples de politiques basées sur l'identité pour AWS Security Hub CSPM](security_iam_id-based-policy-examples.md)
## Utilisation d'informations d'identification temporaires avec Security Hub CSPM
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Security Hub CSPM prend en charge l'utilisation d'informations d'identification temporaires.
## Transférer les sessions d'accès pour Security Hub CSPM
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Par exemple, Security Hub CSPM envoie des requêtes FAS en aval Services AWS lorsque vous intégrez Security Hub CSPM à AWS Organizations et lorsque vous désignez le compte administrateur délégué du Security Hub CSPM pour une organisation dans Organizations.
Pour les autres tâches, Security Hub CSPM utilise un rôle lié à un service pour effectuer des actions en votre nom. Pour plus de détails sur ce rôle, consultez[Rôles liés à un service pour AWS Security Hub CSPM](using-service-linked-roles.md).
## Rôles de service pour Security Hub CSPM
Security Hub CSPM n'assume ni n'utilise de rôles de service. Pour effectuer des actions en votre nom, Security Hub CSPM utilise un rôle lié à un service. Pour plus de détails sur ce rôle, consultez[Rôles liés à un service pour AWS Security Hub CSPM](using-service-linked-roles.md).
**Avertissement**
La modification des autorisations associées à un rôle de service peut entraîner des problèmes opérationnels lors de votre utilisation du Security Hub CSPM. Modifiez les rôles de service uniquement lorsque Security Hub CSPM fournit des instructions à cet effet.
## Rôles liés à un service pour Security Hub CSPM
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Security Hub CSPM utilise un rôle lié à un service pour effectuer des actions en votre nom. Pour plus de détails sur ce rôle, consultez[Rôles liés à un service pour AWS Security Hub CSPM](using-service-linked-roles.md).
# Exemples de politiques basées sur l'identité pour AWS Security Hub CSPM
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier les ressources Security Hub CSPM. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d’API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes ayant besoin de ces autorisations.
Pour savoir comment créer une politique IAM basée sur l’identité à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l’onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console Security Hub CSPM](#security_iam_id-based-policy-examples-console)
+ [Exemple : Autoriser les utilisateurs à afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemple : autoriser les utilisateurs à créer et à gérer une politique de configuration](#security_iam_id-based-policy-examples-create-configuration-policy)
+ [Exemple : autoriser les utilisateurs à consulter les résultats](#security_iam_id-based-policy-examples-view-findings)
+ [Exemple : autoriser les utilisateurs à créer et à gérer des règles d'automatisation](#security_iam_id-based-policy-examples-create-automation-rule)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources Security Hub dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console Security Hub CSPM
Pour accéder à la AWS Security Hub CSPM console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher des informations détaillées sur les ressources Security Hub CSPM de votre. Compte AWS Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que ces utilisateurs et rôles peuvent utiliser la console Security Hub CSPM, associez également la politique AWS gérée suivante à l'entité. Pour plus d'informations, veuillez consulter [Ajout d'autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l'utilisateur IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Exemple : Autoriser les utilisateurs à afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Exemple : autoriser les utilisateurs à créer et à gérer une politique de configuration
Cet exemple montre comment créer une politique IAM qui permet à un utilisateur de créer, d'afficher, de mettre à jour et de supprimer des politiques de configuration. Cet exemple de politique permet également à l'utilisateur de démarrer, d'arrêter et de consulter les associations de politiques. Pour que cette politique IAM fonctionne, l'utilisateur doit être l'administrateur délégué du Security Hub CSPM d'une organisation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:CreateConfigurationPolicy",
"securityhub:UpdateConfigurationPolicy"
],
"Resource": "*"
},
{
"Sid": "ViewConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:GetConfigurationPolicy",
"securityhub:ListConfigurationPolicies"
],
"Resource": "*"
},
{
"Sid": "DeleteConfigurationPolicy",
"Effect": "Allow",
"Action": [
"securityhub:DeleteConfigurationPolicy"
],
"Resource": "*"
},
{
"Sid": "ViewConfigurationPolicyAssociation",
"Effect": "Allow",
"Action": [
"securityhub:BatchGetConfigurationPolicyAssociations",
"securityhub:GetConfigurationPolicyAssociation",
"securityhub:ListConfigurationPolicyAssociations"
],
"Resource": "*"
},
{
"Sid": "UpdateConfigurationPolicyAssociation",
"Effect": "Allow",
"Action": [
"securityhub:StartConfigurationPolicyAssociation",
"securityhub:StartConfigurationPolicyDisassociation"
],
"Resource": "*"
}
]
}
```
------
## Exemple : autoriser les utilisateurs à consulter les résultats
Cet exemple montre comment créer une politique IAM permettant à un utilisateur de consulter les résultats du Security Hub CSPM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"securityhub:GetFindings"
],
"Resource": "*"
}
]
}
```
------
## Exemple : autoriser les utilisateurs à créer et à gérer des règles d'automatisation
Cet exemple montre comment créer une politique IAM qui permet à un utilisateur de créer, d'afficher, de mettre à jour et de supprimer les règles d'automatisation Security Hub CSPM. Pour que cette politique IAM fonctionne, l'utilisateur doit être un administrateur CSPM du Security Hub. Pour limiter les autorisations, par exemple pour permettre à un utilisateur de consulter uniquement les règles d'automatisation, vous pouvez supprimer les autorisations de création, de mise à jour et de suppression.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:CreateAutomationRule",
"securityhub:BatchUpdateAutomationRules"
],
"Resource": "*"
},
{
"Sid": "ViewAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:BatchGetAutomationRules",
"securityhub:ListAutomationRules"
],
"Resource": "*"
},
{
"Sid": "DeleteAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:BatchDeleteAutomationRules"
],
"Resource": "*"
}
]
}
```
------
# Rôles liés à un service pour AWS Security Hub CSPM
AWS Security Hub CSPM utilise un rôle [lié à un service Gestion des identités et des accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) nommé. `AWSServiceRoleForSecurityHub` Ce rôle lié à un service est un rôle IAM directement lié au Security Hub CSPM. Il est prédéfini par Security Hub CSPM et inclut toutes les autorisations dont Security Hub CSPM a besoin pour appeler d'autres AWS ressources Services AWS et les surveiller en votre nom. Security Hub CSPM utilise ce rôle lié au service partout où Security Régions AWS Hub CSPM est disponible.
Un rôle lié à un service facilite la configuration de Security Hub CSPM, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. Security Hub CSPM définit les autorisations associées à son rôle lié à un service et, sauf indication contraire, seul le Security Hub CSPM peut assumer ce rôle. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et vous ne pouvez associer cette politique d'autorisations à aucune autre entité IAM.
Pour consulter les détails du rôle lié au service, vous pouvez utiliser la console Security Hub CSPM. Dans le volet de navigation, sélectionnez **Général** sous **Paramètres**. Ensuite, dans la section **Autorisations de service**, choisissez **Afficher les autorisations de service**.
Vous ne pouvez supprimer le rôle lié au service Security Hub CSPM qu'après avoir désactivé Security Hub CSPM dans toutes les régions où il est activé. Cela protège les ressources CSPM de votre Security Hub, car vous ne pouvez pas supprimer par inadvertance les autorisations permettant d'y accéder.
**Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l'utilisateur IAM* et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés au service.** Cliquez sur **Oui** avec un lien pour consulter la documentation relative aux rôles liés à un service pour ce service.
**Topics**
+ [Autorisations de rôle liées au service pour Security Hub CSPM](#slr-permissions)
+ [Création d'un rôle lié à un service pour Security Hub CSPM](#create-slr)
+ [Modification d'un rôle lié à un service pour Security Hub CSPM](#edit-slr)
+ [Supprimer un rôle lié à un service pour Security Hub CSPM](#delete-slr)
+ [Rôle lié à un service pour AWS Security Hub V2](#slr-permissions-v2)
## Autorisations de rôle liées au service pour Security Hub CSPM
Security Hub CSPM utilise le rôle lié au service nommé. `AWSServiceRoleForSecurityHub` Il s'agit d'un rôle lié à un service requis pour accéder AWS Security Hub CSPM à vos ressources. Ce rôle lié au service permet à Security Hub CSPM d'effectuer des tâches telles que la réception des résultats d'autres utilisateurs Services AWS et la configuration de l' AWS Config infrastructure requise pour effectuer des contrôles de sécurité. Le rôle lié à un service `AWSServiceRoleForSecurityHub` fait confiance au service `securityhub.amazonaws.com` pour endosser le rôle.
Le rôle lié à un service `AWSServiceRoleForSecurityHub` utilise la stratégie gérée par [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).
Vous devez accorder des autorisations pour permettre à une identité IAM (telle qu'un rôle, un groupe ou un utilisateur) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle `AWSServiceRoleForSecurityHub` lié au service soit correctement créé, l'identité IAM que vous utilisez pour accéder au Security Hub CSPM doit disposer des autorisations requises. Pour accorder les autorisations requises, associez la stratégie suivante à l'identité IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Création d'un rôle lié à un service pour Security Hub CSPM
Le rôle `AWSServiceRoleForSecurityHub` lié au service est créé automatiquement lorsque vous activez Security Hub CSPM pour la première fois ou lorsque vous activez Security Hub CSPM dans une région où vous ne l'avez pas activé auparavant. Vous pouvez également créer le rôle `AWSServiceRoleForSecurityHub` lié à un service manuellement à l'aide de la console IAM, de la CLI IAM ou de l'API IAM. Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*.
**Important**
Le rôle lié au service créé pour un compte administrateur Security Hub CSPM ne s'applique pas aux comptes membres du Security Hub CSPM associés.
## Modification d'un rôle lié à un service pour Security Hub CSPM
Security Hub CSPM ne vous permet pas de modifier le rôle lié au `AWSServiceRoleForSecurityHub` service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour Security Hub CSPM
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.
Lorsque vous désactivez Security Hub CSPM, Security Hub CSPM ne supprime pas automatiquement le rôle lié au `AWSServiceRoleForSecurityHub` service pour vous. Si vous réactivez Security Hub CSPM, le service peut recommencer à utiliser le rôle lié au service existant. Si vous n'avez plus besoin d'utiliser Security Hub CSPM, vous pouvez supprimer manuellement le rôle lié au service.
**Important**
Avant de supprimer le rôle `AWSServiceRoleForSecurityHub` lié à un service, vous devez d'abord désactiver le Security Hub CSPM dans toutes les régions où il est activé. Pour de plus amples informations, veuillez consulter [Désactivation du Security Hub CSPM](securityhub-disable.md). Si le Security Hub CSPM n'est pas désactivé lorsque vous essayez de supprimer le rôle lié au service, la suppression échoue.
Pour supprimer le rôle `AWSServiceRoleForSecurityHub` lié à un service, vous pouvez utiliser la console IAM, la CLI IAM ou l'API IAM. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Rôle lié à un service pour AWS Security Hub V2
utilise le rôle lié au service nommé. `AWSServiceRoleForSecurityHubV2` Ce rôle lié au service permet de gérer les AWS Config règles et les ressources pour votre organisation et en votre nom. Le rôle lié à un service `AWSServiceRoleForSecurityHubV2` fait confiance au service `securityhub.amazonaws.com` pour endosser le rôle.
Le rôle lié à un service `AWSServiceRoleForSecurityHubV2` utilise la stratégie gérée par [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy).
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes :
+ `cloudwatch`— Permet au rôle de récupérer des données métriques afin de prendre en charge les capacités de mesure des ressources.
+ `config`— Permet au rôle de gérer les enregistreurs de configuration liés aux services pour les ressources, y compris le support pour les enregistreurs globaux. AWS Config
+ `ecr`— Permet au rôle de récupérer des informations sur les images et les référentiels Amazon Elastic Container Registry afin de prendre en charge les fonctionnalités de mesure.
+ `iam`— Permet au rôle de créer le rôle lié au service AWS Config et de récupérer les informations de compte afin de prendre en charge les fonctionnalités de mesure.
+ `lambda`— Permet au rôle de récupérer les informations relatives aux AWS Lambda fonctions afin de prendre en charge les capacités de mesure.
+ `organizations`— Permet au rôle de récupérer les informations relatives au compte et à l'unité organisationnelle (UO) d'une organisation.
+ `securityhub`— Permet au rôle de gérer la configuration.
+ `tag`— Permet au rôle de récupérer des informations sur les balises de ressources.
Vous devez accorder des autorisations pour permettre à une identité IAM (telle qu'un rôle, un groupe ou un utilisateur) de créer, modifier ou supprimer un rôle lié à un service. Pour que le rôle `AWSServiceRoleForSecurityHubV2` lié au service soit correctement créé, l'identité IAM que vous utilisez pour accéder doit disposer des autorisations requises. Pour accorder les autorisations requises, associez la stratégie suivante à l'identité IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
### Création d'un rôle lié à un service pour AWS Security Hub V2
Le rôle `AWSServiceRoleForSecurityHubV2` lié au service est créé automatiquement lorsque vous l'activez pour la première fois ou lorsque vous l'activez dans une région où vous ne l'avez pas activé auparavant. Vous pouvez également créer le rôle `AWSServiceRoleForSecurityHubV2` lié à un service manuellement à l'aide de la console IAM, de la CLI IAM ou de l'API IAM. Pour de plus amples informations sur la création manuelle d'un rôle, veuillez consulter [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*.
**Important**
Le rôle lié au service créé pour un compte administrateur ne s'applique pas aux comptes de membres associés.
### Modification d'un rôle lié à un service pour AWS Security Hub V2
ne vous permet pas de modifier le rôle `AWSServiceRoleForSecurityHubV2` lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
### Supprimer un rôle lié à un service pour AWS Security Hub V2
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.
Lorsque vous le désactivez, le rôle `AWSServiceRoleForSecurityHubV2` lié au service n'est pas automatiquement supprimé pour vous. Si vous réactivez, le service peut alors recommencer à utiliser le rôle lié au service existant. Si vous n'avez plus besoin de l'utiliser, vous pouvez supprimer manuellement le rôle lié au service.
**Important**
Avant de supprimer le rôle `AWSServiceRoleForSecurityHubV2` lié à un service, vous devez d'abord le désactiver dans toutes les régions où il est activé. Pour de plus amples informations, veuillez consulter [Désactivation du Security Hub CSPM](securityhub-disable.md). Si n'est pas désactivé lorsque vous tentez de supprimer le rôle lié à un service, la suppression échoue.
Pour supprimer le rôle `AWSServiceRoleForSecurityHubV2` lié à un service, vous pouvez utiliser la console IAM, la CLI IAM ou l'API IAM. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# AWS politiques gérées pour Security Hub
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSSecurityHubFullAccess
Vous pouvez associer la politique `AWSSecurityHubFullAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions du Security Hub CSPM. Cette politique doit être attachée à un mandant avant qu'il n'active manuellement Security Hub CSPM pour son compte. Par exemple, les responsables disposant de ces autorisations peuvent à la fois consulter et mettre à jour l'état des résultats. Ils peuvent également configurer des informations personnalisées, activer les intégrations et activer et désactiver les normes et les contrôles. Les titulaires d'un compte administrateur peuvent également gérer les comptes des membres.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes :
+ `securityhub`— Permet aux principaux un accès complet à toutes les actions CSPM du Security Hub.
+ `guardduty`— Permet aux directeurs d'effectuer la gestion du cycle de vie complet d'un détecteur, la gestion des administrateurs de l'organisation, la gestion des comptes membres et la configuration à l'échelle de l'organisation sur Amazon. GuardDuty Cela inclut les actions d'API : GetDetector ListDetector, CreateDetector, UpdateDetector, DeleteDetector, EnableOrganizationAdminAccount, ListOrganizationAdminAccounts, CreateMembers, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration.
+ `iam`— Permet aux principaux de créer un rôle lié à un service pour Security Hub CSPM et Security Hub et d'obtenir des rôles, des politiques et des versions de politiques.
+ `inspector`— Permet aux principaux d'obtenir des informations sur l'état du compte, d'activer ou de désactiver, de déléguer la gestion des administrateurs et de gérer la configuration de l'organisation dans Amazon Inspector. Cela inclut les actions d'API : BatchGetAccountStatus, Activer, Désactiver EnableDelegatedAdminAccount, DisableDelegatedAdminAccount,, ListDelegatedAdminAccounts, UpdateOrganizationConfiguration, DescribeOrganizationConfiguration.
+ `pricing`— Permet aux donneurs d'ordre d'obtenir une liste de prix Services AWS et de produits.
+ `account`— Permet aux principaux d'obtenir des informations sur les régions du compte afin de faciliter la gestion des régions dans Security Hub.
Pour consulter les autorisations associées à cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSSecurityHubReadOnlyAccess
Vous pouvez associer la politique `AWSSecurityHubReadOnlyAccess` à vos identités IAM.
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans Security Hub CSPM. Les responsables auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour dans Security Hub CSPM. Par exemple, les directeurs disposant de ces autorisations peuvent consulter la liste des résultats associés à leur compte, mais ne peuvent pas modifier le statut d'un résultat. Ils peuvent consulter les résultats des informations, mais ne peuvent pas créer ou configurer des informations personnalisées. Ils ne peuvent pas configurer les contrôles ou les intégrations de produits.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes :
+ `securityhub`— Permet aux utilisateurs d'effectuer des actions qui renvoient une liste d'éléments ou des détails sur un élément. Cela inclut les opérations d'API qui commencent par `Get``List`, ou`Describe`.
Pour consulter les autorisations associées à cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSSecurityHubOrganizationsAccess
Vous pouvez associer la politique `AWSSecurityHubOrganizationsAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives pour activer et gérer Security Hub, Security Hub CSPM, Amazon GuardDuty et Amazon Inspector pour une organisation dans. AWS Organizations Les autorisations associées à cette politique permettent au compte de gestion de l'organisation de désigner le compte administrateur délégué pour Security Hub, Security Hub CSPM, Amazon GuardDuty et Amazon Inspector. Ils permettent également au compte d'administrateur délégué d'activer les comptes de l'organisation en tant que comptes de membres.
Cette politique fournit uniquement des autorisations pour AWS Organizations. Le compte de gestion de l'organisation et le compte d'administrateur délégué nécessitent également des autorisations pour les actions associées. Ces autorisations peuvent être accordées à l'aide de la politique `AWSSecurityHubFullAccess` gérée.
La création ou la mise à jour d'une politique d'administrateur délégué dans un compte de gestion nécessite des autorisations supplémentaires qui ne sont pas fournies dans cette politique. Pour effectuer ces actions, il est recommandé d'ajouter des autorisations `organizations:PutResourcePolicy` ou de joindre la AWSOrganizations FullAccess politique.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes :
+ `organizations:ListAccounts`— Permet aux principaux de récupérer la liste des comptes faisant partie d'une organisation.
+ `organizations:DescribeOrganization`— Permet aux directeurs de récupérer des informations sur l'organisation.
+ `organizations:ListRoots`— Permet aux directeurs de répertorier la racine d'une organisation.
+ `organizations:ListDelegatedAdministrators`— Permet aux principaux de répertorier l'administrateur délégué d'une organisation.
+ `organizations:ListAWSServiceAccessForOrganization`— Permet aux directeurs de répertorier les informations Services AWS utilisées par une organisation.
+ `organizations:ListOrganizationalUnitsForParent`— Permet aux directeurs de répertorier les unités organisationnelles (UO) enfants d'une UO parent.
+ `organizations:ListAccountsForParent`— Permet aux directeurs de répertorier les comptes enfants d'une unité d'organisation parent.
+ `organizations:ListParents`— Répertorie la racine ou les unités organisationnelles (OUs) qui servent de parent immédiat à l'unité d'organisation ou au compte enfant spécifié.
+ `organizations:DescribeAccount` : autorise les principaux à extraire des informations sur un compte dans l’organisation.
+ `organizations:DescribeOrganizationalUnit`— Permet aux directeurs de récupérer des informations sur une unité organisationnelle de l'organisation.
+ `organizations:ListPolicies`— Récupère la liste de toutes les politiques d'une organisation d'un type spécifié.
+ `organizations:ListPoliciesForTarget`— Répertorie les politiques directement associées à la racine, à l'unité organisationnelle (UO) ou au compte cible spécifié.
+ `organizations:ListTargetsForPolicy`— Répertorie toutes les racines, les unités organisationnelles (OUs) et les comptes auxquels la politique spécifiée est attachée.
+ `organizations:EnableAWSServiceAccess`— Permet aux directeurs d'activer l'intégration avec les Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Permet aux principaux de désigner le compte d'administrateur délégué.
+ `organizations:DeregisterDelegatedAdministrator`— Permet aux principaux de supprimer le compte d'administrateur délégué.
+ `organizations:DescribePolicy`— Récupère les informations relatives à une politique.
+ `organizations:DescribeEffectivePolicy`— Renvoie le contenu de la politique effective pour le type de politique et le compte spécifiés.
+ `organizations:CreatePolicy`— Crée une politique d'un type spécifique que vous pouvez associer à une racine, à une unité organisationnelle (UO) ou à un AWS compte individuel.
+ `organizations:UpdatePolicy`— Met à jour une politique existante avec un nouveau nom, une nouvelle description ou un nouveau contenu.
+ `organizations:DeletePolicy`— Supprime la politique spécifiée de votre organisation.
+ `organizations:AttachPolicy`— Attache une politique à une racine, à une unité organisationnelle (UO) ou à un compte individuel.
+ `organizations:DetachPolicy`— Détache une politique d'une racine, d'une unité organisationnelle (UO) ou d'un compte cible.
+ `organizations:EnablePolicyType`— Active un type de politique dans une racine.
+ `organizations:DisablePolicyType`— Désactive un type de politique organisationnelle dans une racine.
+ `organizations:TagResource`— Ajoute une ou plusieurs balises à une ressource spécifiée.
+ `organizations:UntagResource`— Supprime toutes les balises contenant les clés spécifiées d'une ressource spécifiée.
+ `organizations:ListTagsForResource`— Répertorie les balises associées à une ressource spécifiée.
+ `organizations:DescribeResourcePolicy`— Récupère les informations relatives à une politique de ressources.
Pour consulter les autorisations associées à cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSSecurityHubServiceRolePolicy
Vous ne pouvez pas joindre de `AWSSecurityHubServiceRolePolicy` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet au Security Hub CSPM d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour AWS Security Hub CSPM](using-service-linked-roles.md).
Cette politique accorde des autorisations administratives qui permettent au rôle lié au service d'effectuer des tâches telles que l'exécution de contrôles de sécurité pour les contrôles CSPM du Security Hub.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes :
+ `cloudtrail`— Récupérez des informations sur CloudTrail les sentiers.
+ `cloudwatch`— Récupère les CloudWatch alarmes en cours.
+ `logs`— Récupère les filtres métriques pour CloudWatch les journaux.
+ `sns`— Récupère la liste des abonnements à une rubrique SNS.
+ `config`— Récupérez des informations sur les enregistreurs de configuration, les ressources et AWS Config les règles. Permet également au rôle lié au service de créer et de supprimer des AWS Config règles, et d'exécuter des évaluations par rapport aux règles.
+ `iam`— Récupérez et générez des rapports d'identification pour les comptes.
+ `organizations`— Récupérez les informations relatives au compte et à l'unité organisationnelle (UO) d'une organisation.
+ `securityhub`— Récupérez des informations sur la manière dont le service, les normes et les contrôles Security Hub CSPM sont configurés.
+ `tag`— Récupère des informations sur les balises de ressources.
Pour consulter les autorisations associées à cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSSecurityHubV2ServiceRolePolicy
**Note**
Security Hub est en version préliminaire et peut faire l'objet de modifications.
Cette politique permet à Security Hub de gérer les AWS Config règles et les ressources du Security Hub pour votre organisation et en votre nom. Cette politique est associée à un rôle lié au service qui permet au service d'effectuer des actions en votre nom. Vous ne pouvez pas associer cette politique à vos identités IAM. Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour AWS Security Hub CSPM](using-service-linked-roles.md).
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes :
+ `cloudwatch`— Récupérez les données de métriques pour prendre en charge les fonctionnalités de mesure des ressources du Security Hub.
+ `config`— Gérez les enregistreurs de configuration liés aux services pour les ressources du Security Hub, y compris la prise en charge des enregistreurs de configuration globaux.
+ `ecr`— Récupérez des informations sur les images et les référentiels Amazon Elastic Container Registry pour prendre en charge les fonctionnalités de mesure.
+ `iam`— Créez le rôle lié au service AWS Config et récupérez les informations du compte afin de prendre en charge les fonctionnalités de mesure.
+ `lambda`— Récupérez les informations relatives aux AWS Lambda fonctions pour renforcer les capacités de mesure.
+ `organizations`— Récupérez les informations relatives au compte et à l'unité organisationnelle (UO) d'une organisation.
+ `securityhub`— Gérez la configuration du Security Hub.
+ `tag`— Récupère des informations sur les balises de ressources.
Pour consulter les autorisations associées à cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)le *Guide de référence des politiques AWS gérées*.
## Mises à jour des politiques AWS gérées par Security Hub
Le tableau suivant fournit des informations détaillées sur les mises à jour apportées aux politiques AWS gérées pour AWS Security Hub et Security Hub CSPM depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les mises à jour des politiques, abonnez-vous au flux RSS sur la page d'[historique des documents du Security Hub](doc-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Politique mise à jour | Security Hub a mis à jour la politique afin d'ajouter des autorisations permettant de décrire les politiques de ressources destinées à prendre en charge les fonctionnalités de Security Hub. Security Hub est en version préliminaire et peut faire l'objet de modifications. | 12 novembre 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Politique mise à jour | Security Hub a mis à jour la politique afin d'ajouter des fonctionnalités relatives à la gestion GuardDuty, à Amazon Inspector et à la gestion des comptes afin de prendre en charge les fonctionnalités de Security Hub. Security Hub est en version préliminaire et peut faire l'objet de modifications. | 17 novembre 2025 |
| [AWSSecurityHubV2 ServiceRolePolicy — Politique mise](#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) à jour | Security Hub a mis à jour la politique afin d'ajouter des fonctionnalités de mesure pour Amazon Elastic Container Registry AWS Lambda, Amazon CloudWatch, et Gestion des identités et des accès AWS pour prendre en charge les fonctionnalités de Security Hub. La mise à jour a également ajouté la prise en charge des AWS Config enregistreurs mondiaux. Security Hub est en version préliminaire et peut faire l'objet de modifications. | 5 novembre 2025 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess) : mise à jour d’une politique existante | Security Hub a ajouté de nouvelles autorisations à la politique. Les autorisations permettent à la direction de l'organisation d'activer et de gérer Security Hub et Security Hub CSPM pour une organisation. | 17 juin 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess) : mise à jour d’une politique existante | Security Hub CSPM a ajouté de nouvelles autorisations qui permettent aux principaux de créer un rôle lié à un service pour Security Hub. | 17 juin 2025 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Mise à jour d'une politique existante | Security Hub CSPM a mis à jour la politique afin d'obtenir des informations sur les prix Services AWS et les produits. | 24 avril 2024 |
| [AWSSecurityHubReadOnlyAccess](#security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Mise à jour d'une politique existante | Security Hub CSPM a mis à jour cette politique gérée en ajoutant un Sid champ. | 22 février 2024 |
| [AWSSecurityHubFullAccess](#security-iam-awsmanpol-awssecurityhubfullaccess)— Mise à jour d'une politique existante | Security Hub CSPM a mis à jour la politique afin de déterminer si Amazon GuardDuty et Amazon Inspector sont activés dans un compte. Cela permet aux clients de rassembler des informations relatives à la sécurité provenant de plusieurs sources. Services AWS | 16 novembre 2023 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Mise à jour d'une politique existante | Security Hub CSPM a mis à jour la politique afin d'accorder des autorisations supplémentaires afin de permettre un accès en lecture seule aux AWS Organizations fonctionnalités d'administrateur délégué. Cela inclut des détails tels que la racine, les unités organisationnelles (OUs), les comptes, la structure organisationnelle et l'accès aux services. | 16 novembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) : mise à jour d’une politique existante | Security Hub CSPM a ajouté les UpdateSecurityControl autorisations BatchGetSecurityControlsDisassociateFromAdministratorAccount, et pour lire et mettre à jour les propriétés de contrôle de sécurité personnalisables. | 26 novembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) – Mise à jour d’une politique existante | Security Hub CSPM a ajouté l'tag:GetResourcesautorisation de lire les balises de ressources associées aux résultats. | 7 novembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) : mise à jour d’une politique existante | Security Hub CSPM a ajouté l'BatchGetStandardsControlAssociationsautorisation d'obtenir des informations sur l'état d'activation d'un contrôle dans une norme. | 27 septembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) : mise à jour d’une politique existante | Security Hub CSPM a ajouté de nouvelles autorisations pour obtenir des AWS Organizations données et lire et mettre à jour les configurations du Security Hub CSPM, y compris les normes et les contrôles. | 20 septembre 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) : mise à jour d’une politique existante | Security Hub CSPM a déplacé l'config:DescribeConfigRuleEvaluationStatusautorisation existante vers une autre déclaration au sein de la politique. L'config:DescribeConfigRuleEvaluationStatusautorisation est désormais appliquée à toutes les ressources. | 17 mars 2023 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) : mise à jour d’une politique existante | Security Hub CSPM a déplacé l'config:PutEvaluationsautorisation existante vers une autre déclaration au sein de la politique. L'config:PutEvaluationsautorisation est désormais appliquée à toutes les ressources. | 14 juillet 2021 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy) : mise à jour d’une politique existante | Security Hub CSPM a ajouté une nouvelle autorisation permettant au rôle lié au service de fournir des résultats d'évaluation à. AWS Config | 29 juin 2021 |
| [AWSSecurityHubServiceRolePolicy](#security-iam-awsmanpol-awssecurityhubservicerolepolicy)— Ajouté à la liste des politiques gérées | Ajout d'informations sur la politique gérée AWSSecurityHubServiceRolePolicy, qui est utilisée par le rôle lié au service Security Hub CSPM. | 11 juin 2021 |
| [AWSSecurityHubOrganizationsAccess](#security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Nouvelle politique | Security Hub CSPM a ajouté une nouvelle politique qui accorde les autorisations nécessaires à l'intégration du Security Hub CSPM aux Organizations. | 15 mars 2021 |
| Security Hub CSPM a commencé à suivre les modifications | Security Hub CSPM a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 15 mars 2021 |
# Résolution des problèmes AWS Security Hub CSPM d'identité et d'accès
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS Security Hub CSPM IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Security Hub CSPM](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite un accès programmatique à Security Hub CSPM](#security_iam_troubleshoot-access-keys)
+ [Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à Security Hub CSPM](#security_iam_troubleshoot-admin-delegate)
+ [Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder aux ressources CSPM de mon Security Hub](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Security Hub CSPM
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.
L'exemple d'erreur suivant se produit lorsque l'utilisateur `mateojackson` essaie d'utiliser la console pour afficher les détails d'un *widget* mais ne dispose pas des `securityhub:GetWidget` autorisations nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `my-example-widget` à l’aide de l’action `securityhub:GetWidget`.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Security Hub.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans Security Hub. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite un accès programmatique à Security Hub CSPM
Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.
Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.
****
| Quel utilisateur a besoin d’un accès programmatique ? | À | Méthode |
| --- | --- | --- |
| IAM | (Recommandé) Utilisez les informations d'identification de la console comme informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/security_iam_troubleshoot.html) |
| Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center) | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/security_iam_troubleshoot.html) |
| IAM | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de la section [Utilisation d'informations d'identification temporaires avec AWS les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) du Guide de l'utilisateur IAM. |
| IAM | (Non recommandé)Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/security_iam_troubleshoot.html) |
## Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à Security Hub CSPM
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
## Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder aux ressources CSPM de mon Security Hub
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Security Hub prend en charge ces fonctionnalités, consultez[Comment Security Hub fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Validation de conformité pour AWS Security Hub CSPM
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Résilience dans AWS Security Hub
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau à latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans AWS Security Hub CSPM
En tant que service géré, AWS Security Hub CSPM il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder au Security Hub CSPM via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# AWS Security Hub CSPM et points de terminaison VPC d'interface ()AWS PrivateLink
Vous pouvez établir une connexion privée entre votre VPC et créer un point de AWS Security Hub CSPM terminaison *VPC d'interface.* Les points de terminaison de l'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink)une technologie qui vous permet d'accéder de manière privée à Security Hub CSPM APIs sans passerelle Internet, appareil NAT, connexion VPN ou connexion Direct AWS Connect. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec le Security Hub CSPM. APIs Le trafic entre votre VPC et le Security Hub CSPM ne quitte pas le réseau Amazon.
Chaque point de terminaison d’interface est représenté par une ou plusieurs [interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dans vos sous-réseaux. Pour plus d'informations, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) dans le guide *Amazon Virtual Private Cloud*.
## Considérations relatives aux points de terminaison VPC Security Hub CSPM
Avant de configurer un point de terminaison VPC d'interface pour Security Hub CSPM, assurez-vous de consulter les conditions préalables et les autres informations contenues dans le guide [Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) Virtual Private Cloud.
Security Hub CSPM permet d'appeler toutes ses actions d'API depuis votre VPC.
## Création d'un point de terminaison VPC d'interface pour Security Hub CSPM
Vous pouvez créer un point de terminaison VPC pour le service Security Hub CSPM à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d'informations, consultez la section [Créer un point de terminaison VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) dans le guide *Amazon Virtual Private Cloud*.
Créez un point de terminaison VPC pour Security Hub CSPM en utilisant le nom de service suivant :
`com.amazonaws.region.securityhub`
Où se *region* trouve le code de région correspondant à ce qui est applicable Région AWS ?
Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à Security Hub CSPM en utilisant son nom DNS par défaut pour la région, par exemple `securityhub.us-east-1.amazonaws.com` pour la région USA Est (Virginie du Nord).
## Création d'une politique de point de terminaison VPC pour Security Hub CSPM
Vous pouvez associer une politique de point de terminaison à votre point de terminaison VPC qui contrôle l'accès au Security Hub CSPM. La politique spécifie les informations suivantes :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d'informations, consultez la section [Contrôler l'accès aux points de terminaison VPC à l'aide des politiques relatives aux points de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le guide *Amazon Virtual Private Cloud*.
**Exemple : politique de point de terminaison VPC pour les actions CSPM de Security Hub**
Voici un exemple de politique de point de terminaison pour Security Hub CSPM. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux actions CSPM répertoriées pour tous les principaux sur toutes les ressources.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securityhub:getFindings",
"securityhub:getEnabledStandards",
"securityhub:getInsights"
],
"Resource":"*"
}
]
}
```
## Sous-réseaux partagés
Vous ne pouvez pas créer, décrire, modifier ou supprimer des points de terminaison d'un VPC dans des sous-réseaux qui sont partagés avec vous. Toutefois, vous pouvez utiliser les points de terminaison d'un VPC dans les sous-réseaux qui sont partagés avec vous. Pour plus d'informations sur le partage VPC, consultez [Partager vos sous-réseaux VPC avec d'autres comptes dans le guide *Amazon* Virtual](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) Private Cloud.
# Journalisation des appels de l'API Security Hub avec CloudTrail
AWS Security Hub CSPM est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Security Hub CSPM. CloudTrail capture les appels d'API pour Security Hub CSPM sous forme d'événements. Les appels capturés incluent des appels provenant de la console Security Hub CSPM et des appels de code vers les opérations de l'API Security Hub CSPM. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour Security Hub CSPM. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents sur la CloudTrail console dans **Historique des événements**. À l'aide des informations CloudTrail collectées, vous pouvez déterminer la demande envoyée à Security Hub CSPM, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite et des informations supplémentaires.
Pour en savoir plus CloudTrail, notamment comment le configurer et l'activer, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informations CSPM du Security Hub dans CloudTrail
CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. **Lorsqu'une activité événementielle prise en charge se produit dans Security Hub CSPM, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements.** Vous pouvez afficher, rechercher et télécharger les événements récents dans votre compte . Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements de votre compte, y compris ceux liés au Security Hub CSPM, créez un historique. Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions AWS . Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :
+ [Présentation de la création d’un journal de suivi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Security Hub CSPM prend en charge l'enregistrement de toutes les actions de l'API Security Hub CSPM sous forme d'événements dans des journaux. CloudTrail Pour consulter la liste des opérations CSPM du Security Hub, consultez le document de référence de l'API [CSPM du Security Hub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).
Lorsque l'activité associée aux actions suivantes est enregistrée CloudTrail, la valeur de `responseElements` est définie sur`null`. Cela garantit que les informations sensibles ne sont pas incluses dans CloudTrail les journaux.
+ `BatchImportFindings`
+ `GetFindings`
+ `GetInsights`
+ `GetMembers`
+ `UpdateFindings`
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été faite avec les informations d'identification de l'utilisateur root ou Gestion des identités et des accès AWS (IAM)
+ Si la demande a été effectuée avec des informations d’identification de sécurité temporaires pour un rôle ou un utilisateur fédéré
+ Si la demande a été faite par un autre AWS service
Pour de plus amples informations, veuillez consulter l'[élément userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Exemple : entrées du fichier journal CSPM du Security Hub
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.
L'exemple suivant montre une entrée de CloudTrail journal illustrant l'`CreateInsight`action. Dans cet exemple, une information appelée `Test Insight` est créée. L'attribut `ResourceId` est spécifié en tant qu'agrégateur **Group by (Regrouper par)**, et aucun filtre facultatif n'est spécifié pour ces informations. Pour en savoir plus sur les informations, consultez [Afficher des informations dans Security Hub CSPM](securityhub-insights.md).
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAJK6U5DS22IAVUI7BW",
"arn": "arn:aws:iam::012345678901:user/TestUser",
"accountId": "012345678901",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "TestUser"
},
"eventTime": "2018-11-25T01:02:18Z",
"eventSource": "securityhub.amazonaws.com",
"eventName": "CreateInsight",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.179",
"userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
"requestParameters": {
"Filters": {},
"ResultField": "ResourceId",
"Name": "Test Insight"
},
"responseElements": {
"InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
},
"requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
"eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678901"
}
```