Kontrol Security Hub untuk Amazon EC2

AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Elastic Compute Cloud (AmazonEC2).

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[EC2.1] EBS Cuplikan Amazon seharusnya tidak dapat dipulihkan secara publik

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::::Account

AWS Config aturan: ebs-snapshot-public-restorable-check

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah snapshot Amazon Elastic Block Store tidak bersifat publik. Kontrol gagal jika EBS snapshot Amazon dapat dipulihkan oleh siapa pun.

EBSsnapshot digunakan untuk mencadangkan data pada EBS volume Anda ke Amazon S3 pada titik waktu tertentu. Anda dapat menggunakan snapshot untuk memulihkan status EBS volume sebelumnya. Jarang dapat diterima untuk berbagi snapshot dengan publik. Biasanya keputusan untuk membagikan snapshot secara publik dibuat karena kesalahan atau tanpa pemahaman lengkap tentang implikasinya. Pemeriksaan ini membantu memastikan bahwa semua pembagian tersebut sepenuhnya direncanakan dan disengaja.

Remediasi

Untuk membuat EBS snapshot publik menjadi pribadi, lihat Bagikan snapshot di EC2Panduan Pengguna Amazon. Untuk Tindakan, Ubah izin, pilih Pribadi.

[EC2.2] Grup keamanan VPC default tidak boleh mengizinkan lalu lintas masuk atau keluar

Persyaratan terkait: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, v3.2.1/2.1, Tolok Ukur Yayasan PCI DSS v1.2.0/4.3, Tolok Ukur CIS AWS Yayasan v1.4.0/5.3, Tolok Ukur Yayasan v3.0.0/5.4,, (CIS AWS 21),, (11), (16), (21), CIS AWS (4), (5) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::SecurityGroup

AWS Config aturan: vpc-default-security-group-closed

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah grup keamanan default VPC memungkinkan lalu lintas masuk atau keluar. Kontrol gagal jika grup keamanan mengizinkan lalu lintas masuk atau keluar.

Aturan untuk grup keamanan default memungkinkan semua lalu lintas keluar dan masuk dari antarmuka jaringan (dan instance terkait) yang ditetapkan ke grup keamanan yang sama. Kami menyarankan Anda untuk tidak menggunakan grup keamanan default. Karena grup keamanan default tidak dapat dihapus, Anda harus mengubah pengaturan aturan grup keamanan default untuk membatasi lalu lintas masuk dan keluar. Ini mencegah lalu lintas yang tidak diinginkan jika grup keamanan default secara tidak sengaja dikonfigurasi untuk sumber daya seperti EC2 instance.

Remediasi

Untuk mengatasi masalah ini, mulailah dengan membuat grup keamanan paling tidak memiliki hak istimewa baru. Untuk petunjuknya, lihat Membuat grup keamanan di Panduan VPC Pengguna Amazon. Kemudian, tetapkan grup keamanan baru ke EC2 instans Anda. Untuk petunjuknya, lihat Mengubah grup keamanan instans di Panduan EC2 Pengguna Amazon.

Setelah Anda menetapkan grup keamanan baru ke sumber daya Anda, hapus semua aturan masuk dan keluar dari grup keamanan default. Untuk petunjuknya, lihat Mengonfigurasi aturan grup keamanan di Panduan VPC Pengguna Amazon.

[EC2.3] EBS Volume Amazon yang terlampir harus dienkripsi saat istirahat

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EC2::Volume

AWS Config aturan: encrypted-volumes

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah EBS volume yang berada dalam keadaan terlampir dienkripsi. Untuk lulus pemeriksaan ini, EBS volume harus digunakan dan dienkripsi. Jika EBS volume tidak terpasang, maka tidak tunduk pada pemeriksaan ini.

Untuk menambahkan lapisan keamanan data sensitif Anda dalam EBS volume, Anda harus mengaktifkan EBS enkripsi saat istirahat. EBSEnkripsi Amazon menawarkan solusi enkripsi langsung untuk EBS sumber daya Anda yang tidak mengharuskan Anda membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Ini menggunakan KMS kunci saat membuat volume dan snapshot terenkripsi.

Untuk mempelajari lebih lanjut tentang EBS enkripsi Amazon, lihat EBS enkripsi Amazon di Panduan EC2 Pengguna Amazon.

Remediasi

Tidak ada cara langsung untuk mengenkripsi volume atau snapshot yang tidak terenkripsi yang ada. Anda hanya dapat mengenkripsi volume atau snapshot baru saat Anda membuatnya.

Jika Anda mengaktifkan enkripsi secara default, Amazon EBS mengenkripsi volume atau snapshot baru yang dihasilkan menggunakan kunci default untuk enkripsi Amazon. EBS Meskipun Anda belum mengaktifkan enkripsi secara default, Anda dapat mengaktifkan enkripsi saat Anda membuat volume atau snapshot individu. Dalam kedua kasus tersebut, Anda dapat mengganti kunci default untuk EBS enkripsi Amazon dan memilih kunci terkelola pelanggan simetris.

Untuk informasi selengkapnya, lihat Membuat EBS volume Amazon dan Menyalin EBS snapshot Amazon di EC2Panduan Pengguna Amazon.

[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Kategori: Identifikasi > Inventaris

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EC2::Instance

AWS Config aturan: ec2-stopped-instance

Jenis jadwal: Periodik

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`AllowedDays`	Jumlah hari EC2 instance diizinkan berada dalam keadaan berhenti sebelum menghasilkan temuan yang gagal.	Bilangan Bulat	`1` untuk `365`	`30`

Kontrol ini memeriksa apakah EC2 instans Amazon telah dihentikan lebih lama dari jumlah hari yang diizinkan. Kontrol gagal jika EC2 instance dihentikan lebih lama dari periode waktu maksimum yang diizinkan. Kecuali Anda memberikan nilai parameter khusus untuk jangka waktu maksimum yang diizinkan, Security Hub menggunakan nilai default 30 hari.

Ketika sebuah EC2 instance tidak berjalan untuk jangka waktu yang signifikan, itu menciptakan risiko keamanan karena instance tidak dipelihara secara aktif (dianalisis, ditambal, diperbarui). Jika kemudian diluncurkan, kurangnya perawatan yang tepat dapat mengakibatkan masalah tak terduga di AWS lingkungan Anda. Untuk mempertahankan EC2 instance dengan aman dari waktu ke waktu dalam keadaan tidak aktif, mulailah secara berkala untuk pemeliharaan dan kemudian hentikan setelah pemeliharaan. Idealnya, ini harus menjadi proses otomatis.

Remediasi

Untuk menghentikan EC2 instance yang tidak aktif, lihat Mengakhiri instance di Panduan Pengguna Amazon EC2.

[EC2.6] VPC flow logging harus diaktifkan di semua VPCs

Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.2.0/2.9, Tolok Ukur Yayasan v1.4.0/3.9, Tolok Ukur CIS AWS Yayasan v3.0.0/3.7, v3.2.1/10.3.3, v3.2.1/10.3.4, CIS AWS v3.2.1/10.3.5, v3.2.1/10.3.6, (26),, .800-53.r5 SI-7 PCI DSS (8) PCI DSS PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EC2::VPC

AWS Config aturan: vpc-flow-logs-enabled

Jenis jadwal: Periodik

Parameter:

trafficType: REJECT (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah Amazon VPC Flow Logs ditemukan dan diaktifkanVPCs. Jenis lalu lintas diatur keReject. Kontrol gagal jika VPC Flow Logs tidak diaktifkan VPCs di akun Anda.

catatan

Kontrol ini tidak memeriksa apakah Amazon VPC Flow Logs diaktifkan melalui Amazon Security Lake untuk file Akun AWS.

Dengan fitur VPC Flow Logs, Anda dapat menangkap informasi tentang lalu lintas alamat IP yang menuju dan dari antarmuka jaringan di AndaVPC. Setelah membuat log aliran, Anda dapat melihat dan mengambil datanya di CloudWatch Log. Untuk mengurangi biaya, Anda juga dapat mengirim log aliran Anda ke Amazon S3.

Security Hub merekomendasikan agar Anda mengaktifkan flow logging untuk penolakan paket. VPCs Flow log memberikan visibilitas ke lalu lintas jaringan yang melintasi VPC dan dapat mendeteksi lalu lintas anomali atau memberikan wawasan selama alur kerja keamanan.

Secara default, catatan mencakup nilai untuk komponen yang berbeda dari aliran alamat IP, termasuk sumber, tujuan, dan protokol. Untuk informasi selengkapnya dan deskripsi bidang log, lihat Log VPC Aliran di Panduan VPC Pengguna Amazon.

Remediasi

Untuk membuat Log VPC Aliran, lihat Membuat Log Aliran di Panduan VPC Pengguna Amazon. Setelah Anda membuka VPC konsol Amazon, pilih Your VPCs. Untuk Filter, pilih Tolak atau Semua.

[EC2.7] enkripsi EBS default harus diaktifkan

Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.4.0/2.2.1, Tolok Ukur CIS AWS Yayasan v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7 NIST

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: ec2-ebs-encryption-by-default

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah enkripsi tingkat akun diaktifkan secara default untuk Amazon Elastic Block Store (AmazonEBS). Kontrol gagal jika enkripsi tingkat akun tidak diaktifkan.

Saat enkripsi diaktifkan untuk akun Anda, EBS volume Amazon dan salinan snapshot dienkripsi saat istirahat. Ini menambahkan lapisan perlindungan tambahan untuk data Anda. Untuk informasi selengkapnya, lihat Enkripsi secara default di Panduan EC2 Pengguna Amazon.

Perhatikan bahwa jenis instance berikut tidak mendukung enkripsi: R1, C1, dan M1.

Remediasi

Untuk mengonfigurasi enkripsi default untuk EBS volume Amazon, lihat Enkripsi secara default di Panduan EC2 Pengguna Amazon.

[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

Persyaratan terkait: CIS AWS Yayasan Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 AC-3, v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 PCI DSS

Kategori: Lindungi > Keamanan Jaringan

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::Instance

AWS Config aturan: ec2-imdsv2-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah versi metadata EC2 instans Anda dikonfigurasi dengan Instance Metadata Service Version 2 (). IMDSv2 Kontrol lolos jika HttpTokens diatur ke required forIMDSv2. Kontrol gagal jika HttpTokens disetel keoptional.

Anda menggunakan metadata instance untuk mengonfigurasi atau mengelola instance yang sedang berjalan. IMDSIni menyediakan akses ke kredensil sementara yang sering diputar. Kredensi ini menghapus kebutuhan untuk kode keras atau mendistribusikan kredensi sensitif ke instance secara manual atau terprogram. Terlampir IMDS secara lokal ke setiap EC2 instance. Ini berjalan pada alamat IP “link lokal” khusus 169.254.169.254. Alamat IP ini hanya dapat diakses oleh perangkat lunak yang berjalan pada instance.

Versi 2 IMDS menambahkan perlindungan baru untuk jenis kerentanan berikut. Kerentanan ini dapat digunakan untuk mencoba mengakses. IMDS

Buka firewall aplikasi situs web
Buka proxy terbalik
Kerentanan pemalsuan permintaan sisi server () SSRF
Buka firewall Layer 3 dan terjemahan alamat jaringan () NAT

Security Hub menyarankan agar Anda mengonfigurasi EC2 instans denganIMDSv2.

Remediasi

Untuk mengonfigurasi EC2 instans denganIMDSv2, lihat Jalur yang disarankan untuk membutuhkan IMDSv2 di Panduan EC2 Pengguna Amazon.

[EC2.9] EC2 Instans Amazon seharusnya tidak memiliki alamat publik IPv4

Persyaratan terkait: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::Instance

AWS Config aturan: ec2-instance-no-public-ip

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah EC2 instance memiliki alamat IP publik. Kontrol gagal jika publicIp bidang hadir dalam item konfigurasi EC2 instance. Kontrol ini hanya berlaku untuk IPv4 alamat.

IPv4Alamat publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans Anda dengan alamat IP publik, maka EC2 instans Anda dapat dijangkau dari internet. IPv4Alamat pribadi adalah alamat IP yang tidak dapat dijangkau dari internet. Anda dapat menggunakan IPv4 alamat pribadi untuk komunikasi antar EC2 instance dalam hal yang sama VPC atau di jaringan pribadi Anda yang terhubung.

IPv6alamat unik secara global, dan karenanya dapat dijangkau dari internet. Namun, secara default semua subnet memiliki atribut IPv6 pengalamatan disetel ke false. Untuk informasi selengkapnyaIPv6, lihat alamat IP VPC di Panduan VPC Pengguna Amazon.

Jika Anda memiliki kasus penggunaan yang sah untuk mempertahankan EC2 instance dengan alamat IP publik, maka Anda dapat menekan temuan dari kontrol ini. Untuk informasi selengkapnya tentang opsi arsitektur front-end, lihat Blog AWS Arsitektur atau seri AWS video seri This Is My Architecture.

Remediasi

Gunakan non-default VPC sehingga instans Anda tidak diberi alamat IP publik secara default.

Ketika Anda meluncurkan sebuah EC2 instance ke defaultVPC, itu diberikan alamat IP publik. Ketika Anda meluncurkan sebuah EC2 instance ke non-defaultVPC, konfigurasi subnet menentukan apakah ia menerima alamat IP publik. Subnet memiliki atribut untuk menentukan apakah EC2 instance baru di subnet menerima alamat IP publik dari kumpulan alamat publikIPv4.

Anda dapat memisahkan alamat IP publik yang ditetapkan secara otomatis dari instans Anda. EC2 Untuk informasi selengkapnya, lihat IPv4Alamat publik dan DNS nama host eksternal di Panduan EC2 Pengguna Amazon.

[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan VPC titik akhir yang dibuat untuk layanan Amazon EC2

Kategori: Lindungi > Konfigurasi jaringan aman> akses API pribadi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EC2::VPC

AWS Config aturan: service-vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

serviceName: ec2 (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah titik akhir layanan untuk Amazon EC2 dibuat untuk masing-masingVPC. Kontrol gagal jika VPC tidak memiliki VPC titik akhir yang dibuat untuk EC2 layanan Amazon.

Kontrol ini mengevaluasi sumber daya dalam satu akun. Itu tidak dapat menggambarkan sumber daya yang berada di luar akun. Karena AWS Config Security Hub tidak melakukan pemeriksaan lintas akun, Anda akan melihat FAILED temuan VPCs yang dibagikan di seluruh akun. Security Hub merekomendasikan agar Anda menekan FAILED temuan ini.

Untuk meningkatkan postur keamanan AndaVPC, Anda dapat mengonfigurasi Amazon EC2 untuk menggunakan VPC titik akhir antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses EC2 API operasi Amazon secara pribadi. Ini membatasi semua lalu lintas jaringan antara Anda VPC dan Amazon EC2 ke jaringan Amazon. Karena titik akhir hanya didukung dalam Wilayah yang sama, Anda tidak dapat membuat titik akhir antara layanan VPC dan Region yang berbeda. Ini mencegah EC2 API panggilan Amazon yang tidak diinginkan ke Wilayah lain.

Untuk mempelajari selengkapnya tentang membuat VPC titik akhir untuk AmazonEC2, lihat Amazon EC2 dan VPC titik akhir antarmuka di EC2Panduan Pengguna Amazon.

Remediasi

Untuk membuat titik akhir antarmuka ke Amazon EC2 dari VPC konsol Amazon, lihat Membuat VPC titik akhir di AWS PrivateLink Panduan. Untuk nama Layanan, pilih com.amazonaws. region.ec2.

Anda juga dapat membuat dan melampirkan kebijakan endpoint ke VPC endpoint untuk mengontrol akses ke Amazon. EC2 API Untuk petunjuk cara membuat kebijakan VPC titik akhir, lihat Membuat kebijakan titik akhir di EC2Panduan Pengguna Amazon.

[EC2.12] Amazon yang tidak terpakai EC2 EIPs harus dihapus

Persyaratan terkait: PCI DSS v3.2.1/2.4, NIST .800-53.r5 CM-8 (1)

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::EIP

AWS Config aturan: eip-attached

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah alamat Elastic IP (EIP) yang dialokasikan ke a VPC dilampirkan ke EC2 instance atau antarmuka jaringan elastis yang sedang digunakan (). ENIs

Temuan yang gagal menunjukkan Anda mungkin tidak digunakan EC2EIPs.

Ini akan membantu Anda mempertahankan inventaris aset yang akurat EIPs di lingkungan data pemegang kartu Anda (CDE).

Remediasi

Untuk merilis yang tidak terpakaiEIP, lihat Melepaskan alamat IP Elastis di Panduan EC2 Pengguna Amazon.

[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22

Persyaratan terkait: CIS AWS Yayasan Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2,, (21),, (11), (16), (21), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (4), (5) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 v4.0.1/1.3.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::SecurityGroup

AWS Config aturan: restricted-ssh

Jenis jadwal: Perubahan yang dipicu dan berkala

Parameter: Tidak ada

Kontrol ini memeriksa apakah grup EC2 keamanan Amazon mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22. Kontrol gagal jika grup keamanan mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port 22. Menghapus konektivitas tanpa batas ke layanan konsol jarak jauh, sepertiSSH, mengurangi eksposur server terhadap risiko.

Remediasi

Untuk melarang masuknya ke port 22, hapus aturan yang memungkinkan akses tersebut untuk setiap grup keamanan yang terkait dengan file. VPC Untuk petunjuknya, lihat Memperbarui aturan grup keamanan di Panduan EC2 Pengguna Amazon. Setelah memilih grup keamanan di EC2 konsol Amazon, pilih Tindakan, Edit aturan masuk. Hapus aturan yang memungkinkan akses ke port 22.

[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389

Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.2.0/4.2, v4.0.1/1.3.1 PCI DSS

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::SecurityGroup

AWS Config aturan: restricted-common-ports(aturan yang dibuat adalahrestricted-rdp)

Jenis jadwal: Perubahan yang dipicu dan berkala

Parameter: Tidak ada

Kontrol ini memeriksa apakah grup EC2 keamanan Amazon mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389. Kontrol gagal jika grup keamanan mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port 3389. Menghapus konektivitas tanpa batas ke layanan konsol jarak jauh, sepertiRDP, mengurangi eksposur server terhadap risiko.

Remediasi

Untuk melarang masuknya ke port 3389, hapus aturan yang memungkinkan akses tersebut untuk setiap grup keamanan yang terkait dengan file. VPC Untuk petunjuknya, lihat Memperbarui aturan grup keamanan di Panduan VPC Pengguna Amazon. Setelah memilih grup keamanan di Amazon VPC Console, pilih Tindakan, Edit aturan masuk. Hapus aturan yang memungkinkan akses ke port 3389.

[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik

Persyaratan terkait: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Kategori: Lindungi > Keamanan Jaringan

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EC2::Subnet

AWS Config aturan: subnet-auto-assign-public-ip-disabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah penugasan publik IPs di subnet Amazon Virtual Private Cloud (AmazonVPC) telah MapPublicIpOnLaunch disetel ke. FALSE Kontrol lolos jika bendera disetel keFALSE.

Semua subnet memiliki atribut yang menentukan apakah antarmuka jaringan yang dibuat di subnet secara otomatis menerima alamat publikIPv4. Instance yang diluncurkan ke subnet yang memiliki atribut ini diaktifkan memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utama mereka.

Remediasi

Untuk mengonfigurasi subnet agar tidak menetapkan alamat IP publik, lihat Memodifikasi atribut IPv4 pengalamatan publik untuk subnet Anda di Panduan Pengguna Amazon. VPC Kosongkan kotak centang untuk Aktifkan alamat publik IPv4 penetapan otomatis.

[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus

Persyaratan terkait: NIST .800-53.r5 CM-8 (1), v4.0.1/1.2.7 PCI DSS

Kategori: Lindungi > Keamanan Jaringan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::NetworkAcl

AWS Config aturan: vpc-network-acl-unused-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah ada daftar kontrol akses jaringan (jaringanACLs) yang tidak digunakan di cloud pribadi virtual Anda (VPC). Kontrol gagal jika jaringan ACL tidak terkait dengan subnet. Kontrol tidak menghasilkan temuan untuk jaringan ACL default yang tidak digunakan.

Kontrol memeriksa konfigurasi item sumber daya AWS::EC2::NetworkAcl dan menentukan hubungan jaringanACL.

Jika satu-satunya hubungan adalah VPC jaringanACL, kontrol gagal.

Jika hubungan lain terdaftar, maka kontrol berlalu.

Remediasi

Untuk petunjuk cara menghapus jaringan yang tidak digunakanACL, lihat Menghapus jaringan ACL di Panduan Pengguna Amazon VPC. Anda tidak dapat menghapus jaringan default ACL atau ACL yang terkait dengan subnet.

[EC2.17] EC2 Instans Amazon seharusnya tidak menggunakan banyak ENIs

Persyaratan terkait: NIST.800-53.r5 AC-4 (21)

Kategori: Lindungi > Keamanan Jaringan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::Instance

AWS Config aturan: ec2-instance-multiple-eni-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah sebuah EC2 instance menggunakan beberapa Elastic Network Interfaces (ENIs) atau Elastic Fabric Adapters (EFAs). Kontrol ini lolos jika adaptor jaringan tunggal digunakan. Kontrol mencakup daftar parameter opsional untuk mengidentifikasi yang diizinkanENIs. Kontrol ini juga gagal jika EC2 instance milik EKS kluster Amazon menggunakan lebih dari satuENI. Jika EC2 instans Anda perlu memiliki beberapa ENIs sebagai bagian dari EKS kluster Amazon, Anda dapat menekan temuan kontrol tersebut.

Beberapa ENIs dapat menyebabkan instance dual-homed, yang berarti instance yang memiliki beberapa subnet. Ini dapat menambah kompleksitas keamanan jaringan dan memperkenalkan jalur dan akses jaringan yang tidak diinginkan.

Remediasi

Untuk melepaskan antarmuka jaringan dari EC2 instance, lihat Melepaskan antarmuka jaringan dari instance di EC2Panduan Pengguna Amazon.

[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi

Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Kategori: Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::SecurityGroup

AWS Config aturan: vpc-sg-open-only-to-authorized-ports

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`authorizedTcpPorts`	Daftar TCP port resmi	IntegerList (minimal 1 item dan maksimal 32 item)	`1` untuk `65535`	`[80,443]`
`authorizedUdpPorts`	Daftar UDP port resmi	IntegerList (minimal 1 item dan maksimal 32 item)	`1` untuk `65535`	Tidak ada nilai default

Kontrol ini memeriksa apakah grup EC2 keamanan Amazon mengizinkan lalu lintas masuk yang tidak dibatasi dari port yang tidak sah. Status kontrol ditentukan sebagai berikut:

Jika Anda menggunakan nilai default untukauthorizedTcpPorts, kontrol gagal jika grup keamanan mengizinkan lalu lintas masuk yang tidak dibatasi dari port selain port 80 dan 443.
Jika Anda memberikan nilai khusus untuk authorizedTcpPorts atauauthorizedUdpPorts, kontrol gagal jika grup keamanan mengizinkan lalu lintas masuk yang tidak dibatasi dari port yang tidak terdaftar.
Jika tidak ada parameter yang digunakan, kontrol gagal untuk grup keamanan mana pun yang memiliki aturan lalu lintas masuk yang tidak dibatasi.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke. AWS Aturan grup keamanan harus mengikuti prinsip akses yang paling tidak memiliki hak istimewa. Akses tidak terbatas (alamat IP dengan akhiran /0) meningkatkan peluang aktivitas berbahaya seperti peretasan, denial-of-service serangan, dan kehilangan data. Kecuali port diizinkan secara khusus, port harus menolak akses tidak terbatas.

Remediasi

Untuk mengubah grup keamanan, lihat Bekerja dengan grup keamanan di Panduan VPC Pengguna Amazon.

[EC2.19] Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi

Persyaratan terkait: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Kategori: Lindungi > Akses jaringan terbatas

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::EC2::SecurityGroup

AWS Config aturan: restricted-common-ports(aturan yang dibuat adalahvpc-sg-restricted-common-ports)

Jenis jadwal: Perubahan yang dipicu dan berkala

Parameter: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah lalu lintas masuk yang tidak dibatasi untuk grup EC2 keamanan Amazon dapat diakses ke port tertentu yang dianggap berisiko tinggi. Kontrol ini gagal jika salah satu aturan dalam grup keamanan mengizinkan lalu lintas masuk dari '0.0.0.0/0' atau ': :/0' ke port tersebut.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Akses tidak terbatas (0.0.0.0/0) meningkatkan peluang untuk aktivitas berbahaya, seperti peretasan, denial-of-service serangan, dan kehilangan data. Tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port berikut:

20, 21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
110 (POP3)
135 (RPC)
143 () IMAP
445 () CIFS
1433, 1434 () MSSQL
3000 (kerangka kerja pengembangan web Go, Node.js, dan Ruby)
3306 (saya) SQL
3389 () RDP
4333 (ahsp)
5000 (Kerangka pengembangan web Python)
5432 (Postgresql)
5500 (fcp-addr-srvr1)
5601 (Dasbor) OpenSearch
8080 (proksi)
8088 (port lamaHTTP)
8888 (HTTPpelabuhan alternatif)
9200 atau 9300 () OpenSearch

Remediasi

Untuk menghapus aturan dari grup keamanan, lihat Menghapus aturan dari grup keamanan di Panduan EC2 Pengguna Amazon.

[EC2.20] Kedua VPN terowongan untuk AWS Site-to-Site VPN koneksi harus siap

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Kategori: Pulihkan > Ketahanan > Ketersediaan tinggi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EC2::VPNConnection

AWS Config aturan: vpc-vpn-2-tunnels-up

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

VPNTerowongan adalah tautan terenkripsi di mana data dapat berpindah dari jaringan pelanggan ke atau dari AWS dalam koneksi AWS Site-to-Site VPN. Setiap VPN koneksi mencakup dua VPN terowongan yang dapat Anda gunakan secara bersamaan untuk ketersediaan tinggi. Memastikan bahwa kedua VPN terowongan siap untuk VPN koneksi penting untuk mengonfirmasi koneksi yang aman dan sangat tersedia antara jaringan jarak jauh AWS VPC dan jaringan jarak jauh Anda.

Kontrol ini memeriksa apakah kedua VPN terowongan yang disediakan oleh AWS Site-to-Site VPN berada dalam status UP. Kontrol gagal jika salah satu atau kedua terowongan berada dalam DOWN status.

Remediasi

Untuk mengubah opsi VPN terowongan, lihat Memodifikasi opsi Site-to-Site VPN terowongan di Panduan AWS Site-to-Site VPN Pengguna.

[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389

Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.4.0/5.1, Tolok Ukur CIS AWS Yayasan v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), (1),, (21), NIST.800-53.r5 CA-9 (5), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 v4.0.1/1.3.1 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS

Kategori: Lindungi > Konfigurasi Jaringan Aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EC2::NetworkAcl

AWS Config aturan: nacl-no-unrestricted-ssh-rdp

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah daftar kontrol akses jaringan (jaringanACL) memungkinkan akses tidak terbatas ke TCP port default untuk lalu lintas SSH RDP /ingress. Kontrol gagal jika entri ACL masuk jaringan memungkinkan CIDR blok sumber '0.0.0.0/0' atau ': :/0' untuk port 22 atau 3389. TCP Kontrol tidak menghasilkan temuan untuk jaringan defaultACL.

Akses ke port administrasi server jarak jauh, seperti port 22 (SSH) dan port 3389 (RDP), tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke sumber daya di dalam Anda. VPC

Remediasi

Untuk mengedit aturan ACL lalu lintas jaringan, lihat Bekerja dengan jaringan ACLs di Panduan VPC Pengguna Amazon.

[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus

penting

RETIREDFROMSPECIFICSTANDARDS- Security Hub menghapus kontrol ini pada 20 September 2023 dari standar Praktik Terbaik Keamanan AWS Dasar dan NIST SP 800-53 Rev. 5. Kontrol ini masih merupakan bagian dari Standar yang Dikelola Layanan:. AWS Control Tower Kontrol ini menghasilkan temuan yang dilewatkan jika grup keamanan dilampirkan ke EC2 instance atau ke elastic network interface. Namun, untuk kasus penggunaan tertentu, kelompok keamanan yang tidak terikat tidak menimbulkan risiko keamanan. Anda dapat menggunakan EC2 kontrol lain—seperti EC2 .2, EC2 .13, EC2 .14, EC2 .18, dan EC2 .19—untuk memantau grup keamanan Anda.

Kategori: Identifikasi > Inventaris

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

AWS Config aturan: ec2-security-group-attached-to-eni-periodic

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah grup keamanan dilampirkan ke instans Amazon Elastic Compute Cloud (AmazonEC2) atau ke antarmuka elastic network. Kontrol gagal jika grup keamanan tidak terkait dengan EC2 instans Amazon atau elastic network interface.

Remediasi

Untuk membuat, menetapkan, dan menghapus grup keamanan, lihat Grup keamanan di panduan EC2 pengguna Amazon.

[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

Persyaratan terkait: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Kategori: Lindungi > Konfigurasi jaringan aman

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::TransitGateway

AWS Config aturan: ec2-transit-gateway-auto-vpc-attach-disabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah gateway EC2 transit secara otomatis menerima lampiran bersama. VPC Kontrol ini gagal untuk gateway transit yang secara otomatis menerima permintaan VPC lampiran bersama.

Menghidupkan AutoAcceptSharedAttachments mengonfigurasi gateway transit untuk secara otomatis menerima permintaan VPC lampiran lintas akun tanpa memverifikasi permintaan atau akun tempat lampiran berasal. Untuk mengikuti praktik otorisasi dan otentikasi terbaik, kami sarankan untuk mematikan fitur ini untuk memastikan bahwa hanya permintaan VPC lampiran resmi yang diterima.

Remediasi

Untuk mengubah gateway transit, lihat Memodifikasi gateway transit di Panduan VPC Pengembang Amazon.

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

Persyaratan terkait: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EC2::Instance

AWS Config aturan: ec2-paravirtual-instance-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah jenis virtualisasi EC2 instance adalah paravirtual. Kontrol gagal jika EC2 instance diatur keparavirtual. virtualizationType

Linux Amazon Machine Images (AMIs) menggunakan salah satu dari dua jenis virtualisasi: paravirtual (PV) atau hardware virtual machine (). HVM Perbedaan utama antara PV dan HVM AMIs adalah cara mereka boot dan apakah mereka dapat memanfaatkan ekstensi perangkat keras khusus (CPU, jaringan, dan penyimpanan) untuk kinerja yang lebih baik.

Secara historis, tamu PV memiliki kinerja yang lebih baik daripada HVM tamu dalam banyak kasus, tetapi karena peningkatan HVM virtualisasi dan ketersediaan driver PV untuk HVMAMIs, ini tidak lagi benar. Untuk informasi selengkapnya, lihat Jenis AMI virtualisasi Linux di Panduan EC2 Pengguna Amazon.

Remediasi

Untuk memperbarui EC2 instance ke jenis instans baru, lihat Mengubah jenis instans di Panduan EC2 Pengguna Amazon.

[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::LaunchTemplate

AWS Config aturan: ec2-launch-template-public-ip-disabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah templat EC2 peluncuran Amazon dikonfigurasi untuk menetapkan alamat IP publik ke antarmuka jaringan saat diluncurkan. Kontrol gagal jika template EC2 peluncuran dikonfigurasi untuk menetapkan alamat IP publik ke antarmuka jaringan atau jika ada setidaknya satu antarmuka jaringan yang memiliki alamat IP publik.

Alamat IP publik adalah alamat yang dapat dijangkau dari internet. Jika Anda mengonfigurasi antarmuka jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan antarmuka jaringan tersebut dapat dijangkau dari internet. EC2sumber daya tidak boleh diakses publik karena ini memungkinkan akses yang tidak diinginkan ke beban kerja Anda.

Remediasi

Untuk memperbarui template EC2 peluncuran, lihat Mengubah setelan antarmuka jaringan default di Panduan Pengguna Amazon EC2 Auto Scaling.

[EC2.28] EBS volume harus dicakup oleh rencana cadangan

Kategori: Pulih> Ketahanan > Cadangan diaktifkan

Persyaratan terkait: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::Volume

AWS Config aturan: ebs-resources-protected-by-backup-plan

Jenis jadwal: Periodik

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`backupVaultLockCheck`	Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan sumber daya menggunakan AWS Backup Vault Lock.	Boolean	`true` atau `false`	Tidak ada nilai default

Kontrol ini mengevaluasi jika EBS volume Amazon dalam in-use keadaan tercakup oleh rencana cadangan. Kontrol gagal jika EBS volume tidak tercakup oleh rencana cadangan. Jika Anda menyetel backupVaultLockCheck parameter sama dengantrue, kontrol hanya akan diteruskan jika EBS volume dicadangkan di brankas yang AWS Backup terkunci.

Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. EBSMenyertakan volume Amazon dalam paket cadangan membantu Anda melindungi data dari kehilangan atau penghapusan yang tidak diinginkan.

Remediasi

Untuk menambahkan EBS volume Amazon ke paket AWS Backup cadangan, lihat Menetapkan sumber daya ke paket cadangan di Panduan AWS Backup Pengembang.

[EC2.33] lampiran gateway EC2 transit harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::TransitGatewayAttachment

AWS Config aturan: tagged-ec2-transitgatewayattachment (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah lampiran gateway EC2 transit Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika lampiran gateway transit tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika lampiran gateway transit tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke lampiran gateway EC2 transit, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.34] tabel rute gateway EC2 transit harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::TransitGatewayRouteTable

AWS Config aturan: tagged-ec2-transitgatewayroutetable (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah tabel rute gateway EC2 transit Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika tabel rute gateway transit tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tabel rute gateway transit tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke tabel rute gateway EC2 transit, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.35] antarmuka EC2 jaringan harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::NetworkInterface

AWS Config aturan: tagged-ec2-networkinterface (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah antarmuka EC2 jaringan Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika antarmuka jaringan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika antarmuka jaringan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke antarmuka EC2 jaringan, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.36] gateway EC2 pelanggan harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::CustomerGateway

AWS Config aturan: tagged-ec2-customergateway (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah gateway EC2 pelanggan Amazon memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika gateway pelanggan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway pelanggan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke gateway EC2 pelanggan, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.37] Alamat IP EC2 elastis harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::EIP

AWS Config aturan: tagged-ec2-eip (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah alamat IP Amazon EC2 Elastic memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika alamat IP Elastis tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika alamat IP Elastis tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke alamat IP EC2 Elastis, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.38] EC2 instance harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::Instance

AWS Config aturan: tagged-ec2-instance (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah EC2 instance Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika instance tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika instance tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke EC2 instans, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.39] gateway EC2 internet harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::InternetGateway

AWS Config aturan: tagged-ec2-internetgateway (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah gateway EC2 internet Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika gateway internet tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway internet tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke gateway EC2 internet, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.40] EC2 NAT gateway harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::NatGateway

AWS Config aturan: tagged-ec2-natgateway (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah gateway terjemahan alamat EC2 jaringan Amazon (NAT) memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika NAT gateway tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika NAT gateway tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke EC2 NAT gateway, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.41] EC2 jaringan ACLs harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::NetworkAcl

AWS Config aturan: tagged-ec2-networkacl (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah daftar kontrol akses EC2 jaringan Amazon (jaringanACL) memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika jaringan ACL tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika jaringan ACL tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke EC2 jaringanACL, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.42] tabel EC2 rute harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::RouteTable

AWS Config aturan: tagged-ec2-routetable (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah tabel EC2 rute Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika tabel rute tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika tabel rute tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke tabel EC2 rute, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.43] grup EC2 keamanan harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::SecurityGroup

AWS Config aturan: tagged-ec2-securitygroup (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah grup EC2 keamanan Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika grup keamanan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup keamanan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke grup EC2 keamanan, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.44] EC2 subnet harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::Subnet

AWS Config aturan: tagged-ec2-subnet (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah EC2 subnet Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika subnet tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika subnet tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke EC2 subnet, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.45] EC2 volume harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::Volume

AWS Config aturan: tagged-ec2-subnet (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah EC2 volume Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika volume tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika volume tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke EC2 volume, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.46] Amazon VPCs harus diberi tag

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::VPC

AWS Config aturan: tagged-ec2-vpc (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah Amazon Virtual Private Cloud (AmazonVPC) memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika Amazon VPC tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika Amazon VPC tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke fileVPC, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.47] Layanan VPC endpoint Amazon harus diberi tag

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::VPCEndpointService

AWS Config aturan: tagged-ec2-vpcendpointservice (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah layanan VPC endpoint Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika layanan endpoint tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika layanan titik akhir tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke layanan VPC endpoint Amazon, lihat Mengelola Tag di bagian Mengonfigurasi layanan titik akhir Panduan.AWS PrivateLink

[EC2.48] Log VPC aliran Amazon harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::FlowLog

AWS Config aturan: tagged-ec2-flowlog (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah log VPC aliran Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika log aliran tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika log aliran tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke log VPC aliran Amazon, lihat Menandai log alur di Panduan VPC Pengguna Amazon.

[EC2.49] Koneksi VPC peering Amazon harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::VPCPeeringConnection

AWS Config aturan: tagged-ec2-vpcpeeringconnection (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah koneksi VPC peering Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika koneksi peering tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika koneksi peering tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke koneksi VPC peering Amazon, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.50] EC2 VPN gateway harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::VPNGateway

AWS Config aturan: tagged-ec2-vpngateway (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	Tidak ada nilai default

Kontrol ini memeriksa apakah EC2 VPN gateway Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika VPN gateway tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika VPN gateway tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke EC2 VPN gateway, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien

Persyaratan terkait: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST NIST PCI DSS

Kategori: Identifikasi > Logging

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::ClientVpnEndpoint

AWS Config aturan: ec2-client-vpn-connection-log-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS Client VPN titik akhir mengaktifkan pencatatan koneksi klien. Kontrol gagal jika titik akhir tidak mengaktifkan pencatatan koneksi klien.

VPNTitik akhir klien memungkinkan klien jarak jauh untuk terhubung dengan aman ke sumber daya di Virtual Private Cloud (VPC) di. AWS Log koneksi memungkinkan Anda melacak aktivitas pengguna di VPN titik akhir dan memberikan visibilitas. Bila Anda mengaktifkan logging koneksi, Anda dapat menentukan nama pengaliran log dalam grup log. Jika Anda tidak menentukan aliran log, VPN layanan Klien akan membuatnya untuk Anda.

Remediasi

Untuk mengaktifkan pencatatan koneksi, lihat Mengaktifkan pencatatan koneksi untuk VPN titik akhir Klien yang ada di Panduan AWS Client VPN Administrator.

[EC2.52] gateway EC2 transit harus ditandai

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::TransitGateway

AWS Config aturan: tagged-ec2-transitgateway (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`requiredTagKeys`	Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil.	StringList	Daftar tag yang memenuhi AWS persyaratan	`No default value`

Kontrol ini memeriksa apakah gateway EC2 transit Amazon memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika gateway transit tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika gateway transit tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

catatan

Remediasi

Untuk menambahkan tag ke gateway EC2 transit, lihat Menandai EC2 sumber daya Amazon Anda di Panduan EC2 Pengguna Amazon.

[EC2.53] grup EC2 keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

Persyaratan terkait: CIS AWS Yayasan Benchmark v3.0.0/5.2, v4.0.1/1.3.1 PCI DSS

Kategori: Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::SecurityGroup

AWS Config aturan: vpc-sg-port-restriction-check

Jenis jadwal: Periodik

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`ipType`	Versi IP	String	Tidak dapat disesuaikan	`IPv4`
`restrictPorts`	Daftar port yang harus menolak lalu lintas masuk	IntegerList	Tidak dapat disesuaikan	`22,3389`

Kontrol ini memeriksa apakah grup EC2 keamanan Amazon memungkinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh (port 22 dan 3389). Kontrol gagal jika grup keamanan mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau 3389.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP port 3389, menggunakan protokol TDP (6), (17), atau UDP ALL (-1). Memungkinkan akses publik ke port ini meningkatkan permukaan serangan sumber daya dan risiko kompromi sumber daya.

Remediasi

Untuk memperbarui aturan grup EC2 keamanan untuk melarang lalu lintas masuk ke port yang ditentukan, lihat Memperbarui aturan grup keamanan di EC2Panduan Pengguna Amazon. Setelah memilih grup keamanan di EC2 konsol Amazon, pilih Tindakan, Edit aturan masuk. Hapus aturan yang memungkinkan akses ke port 22 atau port 3389.

[EC2.54] grup EC2 keamanan tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh

Persyaratan terkait: CIS AWS Yayasan Benchmark v3.0.0/5.3, v4.0.1/1.3.1 PCI DSS

Kategori: Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::EC2::SecurityGroup

AWS Config aturan: vpc-sg-port-restriction-check

Jenis jadwal: Periodik

Parameter:

Parameter	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`ipType`	Versi IP	String	Tidak dapat disesuaikan	`IPv6`
`restrictPorts`	Daftar port yang harus menolak lalu lintas masuk	IntegerList	Tidak dapat disesuaikan	`22,3389`

Kontrol ini memeriksa apakah grup EC2 keamanan Amazon mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh (port 22 dan 3389). Kontrol gagal jika grup keamanan mengizinkan masuknya dari: :/0 ke port 22 atau 3389.

Grup keamanan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Kami menyarankan agar tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port administrasi server jarak jauh, seperti SSH ke port 22 dan RDP port 3389, menggunakan protokol TDP (6), (17), atau UDP ALL (-1). Memungkinkan akses publik ke port ini meningkatkan permukaan serangan sumber daya dan risiko kompromi sumber daya.

Remediasi

[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ecr.api`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon ECRAPI. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk ECRAPI. Kontrol ini mengevaluasi sumber daya dalam satu akun.

AWS PrivateLink memungkinkan pelanggan untuk mengakses layanan yang di-host dengan AWS cara yang sangat tersedia dan terukur, sambil menjaga semua lalu lintas jaringan dalam AWS jaringan. Pengguna layanan dapat secara pribadi mengakses layanan yang didukung oleh PrivateLink dari mereka VPC atau di tempat mereka, tanpa menggunakan publikIPs, dan tanpa memerlukan lalu lintas untuk melintasi internet.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ecr.dkr`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Docker Registry. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Docker Registry. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ssm`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Systems Manager Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Systems Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ssm-contacts`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Kontak Manajer AWS Systems Manager Insiden. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ssm-incidents`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Manajer AWS Systems Manager Insiden. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Systems Manager Incident Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.61] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Quick Setup

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ssm-quicksetup`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS Systems Manager Quick Setup. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Systems Manager Quick Setup. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.62] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Log CloudWatch

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`logs`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon CloudWatch Logs. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CloudWatch Log. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.63] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Pesan Systems Manager

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ssmmessages`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS Systems Manager Pesan. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Pesan Systems Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.64] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Layanan Pengiriman Pesan

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ec2messages`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Message Delivery Service. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Layanan Pengiriman Pesan. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.65] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Secrets Manager

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`secretsmanager`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Secrets Manager Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Secrets Manager. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.66] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Gateway API

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`execute-api`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon API Gateway. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk API Gateway. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.67] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CloudWatch

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`monitoring`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon CloudWatch. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CloudWatch. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.68] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk AWS KMS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`kms`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS KMS Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS KMS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.69] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk SQS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`sqs`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AmazonSQS. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untukSQS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.70] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk STS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`sts`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS STS Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untukSTS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.71] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk SNS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`sns`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AmazonSNS. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untukSNS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.72] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk S3

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`s3`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon S3. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk S3. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.73] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Lambda

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`lambda`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Lambda Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Lambda. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.74] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ecs`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AmazonECS. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untukECS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.75] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Elastic Load Balancing

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`elasticloadbalancing`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Elastic Load Balancing. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Elastic Load Balancing. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.76] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CloudFormation

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`cloudformation`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS CloudFormation Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CloudFormation. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.77] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk EventBridge

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`events`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon EventBridge. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk EventBridge. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.78] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk EC2 Auto Scaling

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`autoscaling`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon EC2 Auto Scaling. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk EC2 Auto Scaling. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.79] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk AI SageMaker API

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`sagemaker.api`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon SageMaker AIAPI. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk EC2 SageMaker AIAPI. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.80] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk SageMaker AI Feature Store Runtime

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`sagemaker.featurestore-runtime`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon SageMaker AI Feature Store Runtime. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk EC2 SageMaker AI Feature Store Runtime. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.81] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Layanan Metrik SageMaker AI

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`sagemaker.metrics`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon SageMaker AI Metrics Service. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Layanan Metrik EC2 SageMaker AI. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.82] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk SageMaker AI Runtime

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`sagemaker.runtime`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon SageMaker AI Runtime. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk EC2 SageMaker AI Runtime. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.83] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk SageMaker AI Runtime untuk FIPS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`sagemaker.runtime-fips`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon SageMaker AI Runtime. FIPS Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk SageMaker AI Runtime for. FIPS Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.84] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk notebook AI SageMaker

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`aws.sagemaker.region.notebook`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk notebook Amazon SageMaker AI. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk notebook SageMaker AI. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.85] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk studio AI SageMaker

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`aws.sagemaker.region.studio`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon SageMaker AI studio. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk studio SageMaker AI. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.86] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk AWS Glue

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`glue`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Glue Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS Glue. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.87] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kinesis Data Streams

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`kinesis-streams`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Kinesis Data Streams. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Kinesis Data Streams. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.88] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Transfer Family SFTP

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`transfer`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS Transfer Family forSFTP. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Transfer Family untukSFTP. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.89] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CloudTrail

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`cloudtrail`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS CloudTrail Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CloudTrail. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.90] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk RDS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`rds`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AmazonRDS. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untukRDS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.91] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Agen ECS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ecs-agent`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk ECS Agen Amazon. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk ECS Agen. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.92] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Telemetri ECS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ecs-agent`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon ECS Telemetry. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk ECS Telemetri. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.93] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk GuardDuty

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`guardduty-data`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon GuardDuty. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk GuardDuty. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.94] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk SES

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`email-smtp`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AmazonSES. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untukSES. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.95] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk EFS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`email-smtp`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AmazonEFS. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untukEFS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.96] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Athena

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`athena`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Athena. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Athena. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.97] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Firehose

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`kinesis-firehose`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Data Firehose. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Firehose. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.98] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Step Functions

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`states`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Step Functions Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Step Functions. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.99] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Storage Gateway

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`storagegateway`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Storage Gateway Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Storage Gateway. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.100] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon MWAA

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`airflow.api`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Alur Kerja Terkelola Amazon untuk Apache Airflow (Amazon). MWAA Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AmazonMWAA. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.101] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon untuk MWAA FIPS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`airflow.api-fips`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Alur Kerja Terkelola Amazon untuk Apache Airflow (AmazonMWAA). FIPS Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon MWAA untukFIPS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.102] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk lingkungan Amazon MWAA

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`airflow.env`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk lingkungan Alur Kerja Terkelola Amazon untuk Apache Airflow (AmazonMWAA). Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk MWAA lingkungan Amazon. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.103] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk lingkungan Amazon MWAA FIPS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`airflow.env-fips`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk lingkungan Alur Kerja Terkelola Amazon untuk Apache Airflow (AmazonMWAA). FIPS Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk MWAA FIPS lingkungan Amazon. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.104] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk operator Amazon MWAA

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`airflow.ops`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk operator Alur Kerja Terkelola Amazon untuk Apache Airflow (AmazonMWAA). Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk MWAA operator Amazon. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.105] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk DataSync

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`datasync`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS DataSync Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk DataSync. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.106] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CodePipeline

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`codepipeline`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS CodePipeline Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CodePipeline. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.107] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk EKS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`eks`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AmazonEKS. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untukEKS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.108] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk langsung EBS APIs

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`ebs`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon EBS langsungAPIs. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk EBS directAPIs. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.109] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CodeCommit

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`git-codecommit`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS CodeCommit Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CodeCommit. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.110] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk X-Ray

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`xray`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS X-Ray Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk X-Ray. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.111] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CodeBuild

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`codebuild`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS CodeBuild Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CodeBuild. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.112] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk AWS Config

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`config`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Config Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS Config. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.113] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Data RDS API

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`rds-data`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon RDS DataAPI. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk RDS DataAPI. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.114] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Service Catalog

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`servicecatalog`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Service Catalog Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Service Catalog. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.115] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon EMR

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`elasticmapreduce`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AmazonEMR. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AmazonEMR. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.116] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CodeCommit

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`codecommit`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.117] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk App Mesh

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`appmesh-envoy-management`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS App Mesh Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk App Mesh. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.118] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Elastic Beanstalk

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`elasticbeanstalk-health`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Elastic Beanstalk Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Elastic Beanstalk. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.119] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk AWS Private CA

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`acm-pca`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Private CA Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS Private CA. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.120] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ElastiCache

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`elasticache`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon ElastiCache. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk ElastiCache. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.121] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CodeArtifact API

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`codeartifact.api`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS CodeArtifact API Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CodeArtifact API. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.122] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk repositori CodeArtifact

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`codeartifact.repositories`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS CodeArtifact repositori. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CodeArtifact repositori. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.123] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Redshift

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`redshift`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Redshift. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon Redshift. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.124] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CodeDeploy

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`codedeploy`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS CodeDeploy Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CodeDeploy. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.125] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Managed Service untuk Prometheus

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`aps-workspaces`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Managed Service untuk Prometheus. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon Managed Service untuk Prometheus. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.126] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Application Auto Scaling

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`application-autoscaling`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS Application Auto Scaling. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Application Auto Scaling. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.127] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Titik Akses Multi-Wilayah S3

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`com.amazonaws.s3-global.accesspoint`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Titik Akses Multi-Wilayah Amazon S3. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk S3 Multi-Region Access Points. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.128] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kueri AMB

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`managedblockchain-query`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Kueri Amazon Managed Blockchain (AMB). Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AMB Query. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.129] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Access Bitcoin AMB

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`managedblockchain.bitcoin.mainnet`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Managed Blockchain (AMB) Akses Bitcoin. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AMB Access Bitcoin. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.130] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk AMB Bitcoin Testnet

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`managedblockchain.bitcoin.testnet`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Managed Blockchain (AMB) Bitcoin Testnet. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AMB Bitcoin Testnet. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.131] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk EFS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`elasticfilesystem-fips`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.132] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk AWS Backup

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`backup`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Backup Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS Backup. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.133] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk DMS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`dms`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS DMS Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untukDMS. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.134] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CodeDeploy

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`codedeploy-commands-secure`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.135] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon AppStream API

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`appstream.api`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon AppStream API. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon AppStream API. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.136] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Streaming AppStream

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`appstream.streaming`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon AppStream Streaming. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon AppStream Streaming. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.137] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Elastic Beanstalk

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`elasticbeanstalk`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.138] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk AWS CodeConnections API

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`codeconnections.api`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS CodeConnections API Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CodeConnections API. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.139] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Koneksi AWS CodeStar API

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`codestar-connections.api`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS CodeStar KoneksiAPI. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS CodeStar KoneksiAPI. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.140] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Redshift Data API

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`redshift-data`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon API Redshift Data. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon API Redshift Data. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.141] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Ttract

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`textract`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Textract. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon Textract. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.142] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Keyspaces

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`cassandra`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Keyspaces (untuk Apache Cassandra). Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon Keyspaces. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.143] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk AWS MGN

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`mgn`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS Application Migration Service (AWS MGN). Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS MGN. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.144] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Image Builder

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`imagebuilder`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon EC2 Image Builder. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Image Builder. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.145] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Step Functions

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`sync-states`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS Step Functions Image Builder. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Step Functions. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.146] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Auto Scaling

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`autoscaling-plans`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Auto Scaling Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS Auto Scaling. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.147] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Bedrock

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`bedrock-runtime`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Bedrock. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon Bedrock. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.148] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Batch

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`batch`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Batch Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Batch. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.149] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon EKS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`eks-auth`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.150] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Comprehend

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`comprehend`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Comprehend. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon Comprehend. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.151] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk App Runner

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`apprunner`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS App Runner Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk App Runner. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.152] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Tanpa Server EMR

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`emr-serverless`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah cloud pribadi virtual (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Tanpa EMR Server. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Tanpa EMR Server. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.153] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Lake Formation

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`lakeformation`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Lake Formation Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Lake Formation. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.154] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon FSx

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`fsx`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AmazonFSx. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AmazonFSx. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.155] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon di EMR EKS

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`fsx`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk EMR AmazonEKS. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk EMR Amazon EKS aktif. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.156] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk IoT Core Data

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`iot.data`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS IoT Core Data. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS IoT Core Data. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.157] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk IoT Core Credentials

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`iot.credentials`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS IoT Core Credentials. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Kredensial AWS IoT Inti. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.158] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk IoT Core Fleet Hub

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`iot.fleethub.api`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk AWS IoT Core Fleet Hub. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk AWS IoT Core Fleet Hub. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.159] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Elastic Disaster Recovery

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`drs`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Elastic Disaster Recovery Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Elastic Disaster Recovery. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.160] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Cloud HSM

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`cloudhsmv2`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS CloudHSM Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk CloudHSM. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.161] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Rekognition

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`rekognition`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Rekognition. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon Rekognition. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.162] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Managed Service untuk Prometheus

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`aps`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.163] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Elastic Inference Runtime

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`elastic-inference.runtime`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Elastic Inference Runtime. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Elastic Inference Runtime. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.164] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk CloudWatch

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`synthetics`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.165] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Bedrock

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`bedrock`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.166] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Security Hub

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`securityhub`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka. AWS Security Hub Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Security Hub. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.167] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk DynamoDB

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`dynamodb`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon DynamoDB. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk DynamoDB. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.168] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Access Analyzer

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`access-analyzer`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk IAM Access Analyzer. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk IAM Access Analyzer. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.168] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Amazon Transcribe Medical

Kategori: Lindungi > Manajemen akses yang aman > Kontrol akses

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config aturan: vpc-endpoint-enabled

Jenis jadwal: Periodik

Parameter:

Parameter	Wajib	Deskripsi	Jenis	Nilai kustom yang diizinkan	Nilai default Security Hub
`serviceNames`	Diperlukan	Nama layanan yang dievaluasi oleh kontrol	String	Tidak dapat disesuaikan	`transcribe`
`vpcIds`	Opsional	Daftar Amazon yang dipisahkan koma VPC IDs untuk VPC titik akhir. Jika disediakan, kontrol gagal jika layanan yang ditentukan dalam `serviceName` parameter tidak memiliki salah satu VPC titik akhir ini.	StringList	Sesuaikan dengan satu atau lebih VPC IDs	Tidak ada nilai default

Kontrol ini memeriksa apakah virtual private cloud (VPC) yang Anda kelola memiliki VPC titik akhir antarmuka untuk Amazon Transcribe Medical. Kontrol gagal jika VPC tidak memiliki VPC titik akhir antarmuka untuk Amazon Transcribe Medical. Kontrol ini mengevaluasi sumber daya dalam satu akun.

Remediasi

Untuk mengonfigurasi VPC titik akhir, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan.AWS PrivateLink

[EC2.170] templat EC2 peluncuran harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

Persyaratan terkait: PCI DSS v4.0.1/2.2.6

Kategori: Lindungi > Keamanan Jaringan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::EC2::LaunchTemplate

AWS Config aturan: ec2-launch-template-imdsv2-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah template EC2 peluncuran Amazon dikonfigurasi dengan Layanan Metadata Instans Versi 2 ()IMDSv2. Kontrol gagal jika HttpTokens disetel keoptional.

Menjalankan sumber daya pada versi perangkat lunak yang didukung memastikan kinerja, keamanan, dan akses optimal ke fitur-fitur terbaru. Pembaruan rutin melindungi terhadap kerentanan, yang membantu memastikan pengalaman pengguna yang stabil dan efisien.

Remediasi

Untuk mewajibkan IMDSv2 pada template EC2 peluncuran, lihat Mengonfigurasi opsi Layanan Metadata Instans di EC2Panduan Pengguna Amazon.

[EC2.171] EC2 VPN koneksi seharusnya mengaktifkan logging

Persyaratan terkait: CIS AWS Yayasan Benchmark v3.0.0/5.3, v4.0.1/10.4.2 PCI DSS

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::EC2::VPNConnection

AWS Config aturan: ec2-vpn-connection-logging-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS Site-to-Site VPN koneksi mengaktifkan CloudWatch Log Amazon untuk kedua terowongan. Kontrol gagal jika Site-to-Site VPN koneksi tidak mengaktifkan CloudWatch Log untuk kedua terowongan.

AWS Site-to-Site VPNlog memberi Anda visibilitas yang lebih dalam ke Site-to-Site VPN penerapan Anda. Dengan fitur ini, Anda memiliki akses ke log Site-to-Site VPN koneksi yang memberikan detail tentang pembentukan terowongan IP Security (IPsec), negosiasi Internet Key Exchange (IKE), dan pesan protokol deteksi rekan mati (DPD). Site-to-SiteVPNlog dapat dipublikasikan ke CloudWatch Log. Fitur ini memberi pelanggan satu cara yang konsisten untuk mengakses dan menganalisis log terperinci untuk semua Site-to-Site VPN koneksi mereka.

Remediasi

Untuk mengaktifkan pencatatan terowongan pada EC2 VPN koneksi, lihat AWS Site-to-Site VPNlog di Panduan AWS Site-to-Site VPN Pengguna.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kontrol Amazon DynamoDB

Kontrol EC2 Auto Scaling Amazon