Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Batas regional pada kontrol CSPM Security Hub
Beberapa kontrol CSPM AWS Security Hub tidak tersedia di semua. Wilayah AWS Halaman ini menentukan kontrol mana yang tidak tersedia di Wilayah tertentu.
Di konsol CSPM Security Hub, kontrol tidak akan muncul di daftar kontrol jika tidak tersedia di Wilayah tempat Anda masuk saat ini. Pengecualian adalah Wilayah agregasi. Jika Anda menyetel Wilayah agregasi dan masuk ke Wilayah tersebut, konsol akan menampilkan kontrol yang tersedia di Wilayah agregasi atau satu atau beberapa Wilayah tertaut.
Wilayah AWS
AS Timur (Virginia Utara)
Kontrol berikut tidak didukung di Wilayah AS Timur (Virginia N.).
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
AS Timur (Ohio)
Kontrol berikut tidak didukung di Wilayah Timur AS (Ohio).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
AS Barat (California Utara)
Kontrol berikut tidak didukung di Wilayah AS Barat (California Utara).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
AS Barat (Oregon)
Kontrol berikut tidak didukung di Wilayah Barat AS (Oregon).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Africa (Cape Town)
Kontrol berikut tidak didukung di Wilayah Afrika (Cape Town).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Asia Pasifik (Hong Kong)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Hong Kong).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Hyderabad)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Hyderabad).
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Jakarta)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Jakarta).
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeBuild.1] URL repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensyal teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki loggingAWS Configbuang air kecil
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Malaysia)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Malaysia).
-
[ACM.1] Impor dan ACM-issued sertifikat harus diperpanjang setelah jangka waktu tertentu
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.1] Informasi kontak keamanan harus disediakan untukAkun AWS
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan pencatatan
-
[AutoScaling.2] Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup Amazon EC2 Auto Scaling harus menggunakan templat peluncuran Amazon EC2
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeBuild.1] URL repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensyal teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki loggingAWS Configbuang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.55] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
-
[EC2.56] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
-
[EC2.57] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelolaAWS KMS keys
-
[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
-
[ECS.19] Penyedia kapasitas ECS harus mengaktifkan perlindungan terminasi yang dikelola
-
[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
-
[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.4] fsX untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Kinesis.3] Aliran Kinesis harus memiliki periode retensi data yang memadai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] Cluster MSK harus dienkripsi dalam perjalanan di antara node broker
-
[MSK.2] Kluster MSK seharusnya memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit
-
[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit
-
[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch
-
[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
-
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet
-
[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone
-
[Redshift.17] Grup parameter cluster Redshift harus diberi tag
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
-
[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
-
[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.2]AWS WAFAturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4]AWS WAFACL web Regional Klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pacific (Melbourne)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Melbourne).
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penerapan Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Mumbai)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Mumbai).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Asia Pasifik (Selandia Baru)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Selandia Baru).
-
[ACM.1] Impor dan ACM-issued sertifikat harus diperpanjang setelah jangka waktu tertentu
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.1] Informasi kontak keamanan harus disediakan untukAkun AWS
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan
-
[APIGateway.3] Tahapan API Gateway REST API harus memilikiAWS X-Raypenelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan WAF Web ACL
-
[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
-
[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan pencatatan
-
[AutoScaling.2] Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup Amazon EC2 Auto Scaling harus menggunakan templat peluncuran Amazon EC2
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeBuild.1] URL repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensyal teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki loggingAWS Configbuang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.55] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
-
[EC2.56] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
-
[EC2.57] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[EC2.182] Blokir pengaturan akses publik harus diaktifkan untuk snapshot Amazon EBS
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelolaAWS KMS keys
-
[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[ECS.16] Kumpulan tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
-
[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS
-
[ECS.19] Penyedia kapasitas ECS harus mengaktifkan perlindungan terminasi yang dikelola
-
[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux
-
[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
-
[EKS.9] Grup node EKS harus berjalan pada versi Kubernetes yang didukung
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ELB.16] Application Load Balancers harus dikaitkan denganAWS WAFweb ACL
-
[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
-
[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.4] fsX untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Kinesis.3] Aliran Kinesis harus memiliki periode retensi data yang memadai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] Cluster MSK harus dienkripsi dalam perjalanan di antara node broker
-
[MSK.2] Kluster MSK seharusnya memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit
-
[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit
-
[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch
-
[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
-
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet
-
[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.1] Cluster Amazon Redshift harus melarang akses publik
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit
-
[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
-
[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone
-
[Redshift.17] Grup parameter cluster Redshift harus diberi tag
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
-
[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
-
[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.1] Instans Amazon EC2 harus dikelola olehAWS Systems Manager
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.2]AWS WAFAturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4]AWS WAFACL web Regional Klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Osaka)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Osaka).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.55] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
-
[EC2.56] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
-
[EC2.57] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Seoul)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Seoul).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Asia Pasifik (Singapura)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Singapura).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Asia Pasifik (Sydney)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Sydney).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Asia Pasifik (Taipei)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Taipei).
-
[ACM.1] Impor dan ACM-issued sertifikat harus diperpanjang setelah jangka waktu tertentu
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.1] Informasi kontak keamanan harus disediakan untukAkun AWS
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan
-
[APIGateway.3] Tahapan API Gateway REST API harus memilikiAWS X-Raypenelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan WAF Web ACL
-
[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
-
[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan pencatatan
-
[AutoScaling.2] Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup Amazon EC2 Auto Scaling harus menggunakan templat peluncuran Amazon EC2
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeBuild.1] URL repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensyal teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki loggingAWS Configbuang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.19] Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.55] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
-
[EC2.56] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
-
[EC2.57] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[EC2.182] Blokir pengaturan akses publik harus diaktifkan untuk snapshot Amazon EBS
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelolaAWS KMS keys
-
[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[ECS.16] Kumpulan tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
-
[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS
-
[ECS.19] Penyedia kapasitas ECS harus mengaktifkan perlindungan terminasi yang dikelola
-
[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux
-
[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis
-
[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
-
[EKS.9] Grup node EKS harus berjalan pada versi Kubernetes yang didukung
-
[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS
-
[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ELB.16] Application Load Balancers harus dikaitkan denganAWS WAFweb ACL
-
[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
-
[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit
-
[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data
-
[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus
-
[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.4] fsX untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Kinesis.3] Aliran Kinesis harus memiliki periode retensi data yang memadai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] Cluster MSK harus dienkripsi dalam perjalanan di antara node broker
-
[MSK.2] Kluster MSK seharusnya memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.7] Firewall Firewall Jaringan harus ditandai
-
[NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
-
[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit
-
[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit
-
[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch
-
[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
-
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet
-
[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.1] Cluster Amazon Redshift harus melarang akses publik
-
[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit
-
[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
-
[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone
-
[Redshift.17] Grup parameter cluster Redshift harus diberi tag
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahatAWS KMS keys
-
[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
-
[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
-
[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis
-
[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
-
[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.1] Instans Amazon EC2 harus dikelola olehAWS Systems Manager
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.2]AWS WAFAturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4]AWS WAFACL web Regional Klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Thailand)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Thailand).
-
[ACM.1] Impor dan ACM-issued sertifikat harus diperpanjang setelah jangka waktu tertentu
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.1] Informasi kontak keamanan harus disediakan untukAkun AWS
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan pencatatan
-
[AutoScaling.2] Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup Amazon EC2 Auto Scaling harus menggunakan templat peluncuran Amazon EC2
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeBuild.1] URL repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensyal teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki loggingAWS Configbuang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.55] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
-
[EC2.56] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
-
[EC2.57] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[EC2.182] Blokir pengaturan akses publik harus diaktifkan untuk snapshot Amazon EBS
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelolaAWS KMS keys
-
[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[ECS.16] Kumpulan tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
-
[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS
-
[ECS.19] Penyedia kapasitas ECS harus mengaktifkan perlindungan terminasi yang dikelola
-
[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux
-
[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
-
[EKS.9] Grup node EKS harus berjalan pada versi Kubernetes yang didukung
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
-
[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.4] fsX untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Kinesis.3] Aliran Kinesis harus memiliki periode retensi data yang memadai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] Cluster MSK harus dienkripsi dalam perjalanan di antara node broker
-
[MSK.2] Kluster MSK seharusnya memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit
-
[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit
-
[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch
-
[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
-
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet
-
[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone
-
[Redshift.17] Grup parameter cluster Redshift harus diberi tag
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
-
[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
-
[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.2]AWS WAFAturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4]AWS WAFACL web Regional Klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Tokyo)
Kontrol berikut tidak didukung di Wilayah Asia Pasifik (Tokyo).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Kanada (Pusat)
Kontrol berikut tidak didukung di Wilayah Kanada (Tengah).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Kinesis.3] Aliran Kinesis harus memiliki periode retensi data yang memadai
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Kanada Barat (Calgary)
Kontrol berikut tidak didukung di Wilayah Kanada Barat (Calgary).
-
[ACM.1] Impor dan ACM-issued sertifikat harus diperpanjang setelah jangka waktu tertentu
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.1] Informasi kontak keamanan harus disediakan untukAkun AWS
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan pencatatan
-
[AutoScaling.2] Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup Amazon EC2 Auto Scaling harus menggunakan templat peluncuran Amazon EC2
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeBuild.1] URL repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensyal teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki loggingAWS Configbuang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.55] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
-
[EC2.56] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
-
[EC2.57] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelolaAWS KMS keys
-
[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[ECS.16] Kumpulan tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
-
[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.4] fsX untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Kinesis.3] Aliran Kinesis harus memiliki periode retensi data yang memadai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] Cluster MSK harus dienkripsi dalam perjalanan di antara node broker
-
[MSK.2] Kluster MSK seharusnya memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit
-
[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit
-
[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch
-
[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
-
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
-
[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
-
[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.2]AWS WAFAturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4]AWS WAFACL web Regional Klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Tiongkok (Beijing)
Kontrol berikut tidak didukung di Wilayah Tiongkok (Beijing).
-
[ACM.1] Impor dan ACM-issued sertifikat harus diperpanjang setelah jangka waktu tertentu
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
-
[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.20] Kedua terowongan VPN untukAWSSite-to-Site Koneksi VPN harus aktif
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
-
[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
-
[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan
-
[RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.17] Grup parameter cluster Redshift harus diberi tag
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
-
[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Tiongkok (Ningxia)
Kontrol berikut tidak didukung di Wilayah Tiongkok (Ningxia).
-
[ACM.1] Impor dan ACM-issued sertifikat harus diperpanjang setelah jangka waktu tertentu
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
-
[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.20] Kedua terowongan VPN untukAWSSite-to-Site Koneksi VPN harus aktif
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
-
[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
-
[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
-
[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.17] Grup parameter cluster Redshift harus diberi tag
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Eropa (Frankfurt)
Kontrol berikut tidak didukung di Wilayah Eropa (Frankfurt).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Eropa (Irlandia)
Kontrol berikut tidak didukung di Wilayah Eropa (Irlandia).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Eropa (London)
Kontrol berikut tidak didukung di Wilayah Eropa (London).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
Europe (Milan)
Kontrol berikut tidak didukung di Wilayah Eropa (Milan).
-
[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Eropa (Paris)
Kontrol berikut tidak didukung di Wilayah Eropa (Paris).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Eropa (Spanyol)
Kontrol berikut tidak didukung di Wilayah Eropa (Spanyol).
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.1] Snapshot Amazon EBS tidak boleh dikonfigurasi agar dapat dipulihkan secara publik
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Eropa (Stockholm)
Kontrol berikut tidak didukung di Wilayah Eropa (Stockholm).
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Europe (Zurich)
Kontrol berikut tidak didukung di Wilayah Eropa (Zurich).
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Israel (Tel Aviv)
Kontrol berikut tidak didukung di Wilayah Israel (Tel Aviv).
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.55] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
-
[EC2.56] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
-
[EC2.57] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelolaAWS KMS keys
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Kinesis.3] Aliran Kinesis harus memiliki periode retensi data yang memadai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] Cluster MSK harus dienkripsi dalam perjalanan di antara node broker
-
[MSK.2] Kluster MSK seharusnya memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Meksiko (Tengah)
Kontrol berikut tidak didukung di Wilayah Meksiko (Tengah).
-
[ACM.1] Impor dan ACM-issued sertifikat harus diperpanjang setelah jangka waktu tertentu
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.1] Informasi kontak keamanan harus disediakan untukAkun AWS
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan pencatatan
-
[AutoScaling.2] Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup Amazon EC2 Auto Scaling harus menggunakan templat peluncuran Amazon EC2
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeBuild.1] URL repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensyal teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki loggingAWS Configbuang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.55] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API
-
[EC2.56] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry
-
[EC2.57] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[EC2.182] Blokir pengaturan akses publik harus diaktifkan untuk snapshot Amazon EBS
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelolaAWS KMS keys
-
[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[ECS.16] Kumpulan tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
-
[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS
-
[ECS.19] Penyedia kapasitas ECS harus mengaktifkan perlindungan terminasi yang dikelola
-
[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux
-
[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
-
[EKS.9] Grup node EKS harus berjalan pada versi Kubernetes yang didukung
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
-
[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.4] fsX untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Kinesis.3] Aliran Kinesis harus memiliki periode retensi data yang memadai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] Cluster MSK harus dienkripsi dalam perjalanan di antara node broker
-
[MSK.2] Kluster MSK seharusnya memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch
-
[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit
-
[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit
-
[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch
-
[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
-
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet
-
[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.1] Cluster Amazon Redshift harus melarang akses publik
-
[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit
-
[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
-
[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone
-
[Redshift.17] Grup parameter cluster Redshift harus diberi tag
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
-
[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
-
[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalamAWSorganisasi saja
-
[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.2]AWS WAFAturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4]AWS WAFACL web Regional Klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Timur Tengah (Bahrain)
Kontrol berikut tidak didukung di Wilayah Timur Tengah (Bahrain).
-
[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.20] Kedua terowongan VPN untukAWSSite-to-Site Koneksi VPN harus aktif
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelolaAWS KMS keys
-
[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host
-
[EKS.9] Grup node EKS harus berjalan pada versi Kubernetes yang didukung
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.4] fsX untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penerapan Multi-AZ
-
[FSx.5] Sistem file FSx for Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit
-
[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Timur Tengah (UAE)
Kontrol berikut tidak didukung di Wilayah Timur Tengah (UEA).
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[Backup.1]AWS Backuptitik pemulihan harus dienkripsi saat istirahat
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi
-
[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS
-
[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0. 0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination
-
[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir
-
[EKS.9] Grup node EKS harus berjalan pada versi Kubernetes yang didukung
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node utama klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[IAM.18] Pastikan peran dukungan telah dibuat untuk mengelola insiden denganAWS Dukungan
-
[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspector.1] Pemindaian Amazon Inspector EC2 harus diaktifkan
-
[Inspector.2] Pemindaian ECR Amazon Inspector harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspector.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Lambda.7] Fungsi Lambda seharusnyaAWS X-Raypenelusuran aktif diaktifkan
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[SSM.7] Dokumen SSM harus mengaktifkan pengaturan blok berbagi publik
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Amerika Selatan (Sao Paulo)
Kontrol berikut tidak didukung di Wilayah Amerika Selatan (São Paulo).
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1]AWS IoT Device Defenderprofil keamanan harus ditandai
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
AWS GovCloud (US-East)
Kontrol berikut tidak didukung di AWS GovCloud (US-East) Wilayah.
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.1] Informasi kontak keamanan harus disediakan untukAkun AWS
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
-
[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[AutoScaling.2] Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup Amazon EC2 Auto Scaling harus menggunakan templat peluncuran Amazon EC2
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki loggingAWS Configbuang air kecil
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[Connect.2] Connect Instans Pelanggan seharusnya mengaktifkan CloudWatch pencatatan
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
-
[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] Cluster MSK harus dienkripsi dalam perjalanan di antara node broker
-
[MSK.2] Kluster MSK seharusnya memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.17] Grup parameter cluster Redshift harus diberi tag
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.16] SageMaker model harus menggunakan registri pribadi di VPC untuk wadah utama
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[SSM.6] Otomatisasi SSM seharusnya mengaktifkan CloudWatch pencatatan
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.2]AWS WAFAturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4]AWS WAFACL web Regional Klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
AWS GovCloud (US-West)
Kontrol berikut tidak didukung di AWS GovCloud (US-West) Wilayah.
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Account.1] Informasi kontak keamanan harus disediakan untukAkun AWS
-
[Account.2]Akun AWSharus menjadi bagian dariAWS Organizationsorganisasi
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
-
[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan
-
[AppSync.1]AWS AppSyncCache API harus dienkripsi saat istirahat
-
[AppSync.2]AWS AppSyncharus mengaktifkan logging tingkat lapangan
-
[AppSync.5]AWS AppSyncGraphQL API tidak boleh diautentikasi dengan kunci API
-
[AppSync.6]AWS AppSyncCache API harus dienkripsi saat transit
-
[AutoScaling.2] Grup Amazon EC2 Auto Scaling harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup Amazon EC2 Auto Scaling harus menggunakan templat peluncuran Amazon EC2
-
[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai
-
[BedrockAgentCore.1] AgentCore Runtime batuan dasar harus dikonfigurasi dengan mode jaringan VPC
-
[BedrockAgentCore.2] Bedrock AgentCore Gateways harus memerlukan otorisasi untuk permintaan masuk
-
[BedrockAgentCore.5] Browser AgentCore kustom Bedrock tidak boleh menggunakan mode jaringan publik
-
[BedrockAgentCore.6] Browser AgentCore kustom Bedrock harus mengaktifkan perekaman sesi
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS
-
[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki loggingAWS Configbuang air kecil
-
[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus ditandai
-
[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus ditandai
-
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
-
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
-
[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag
-
[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] Tugas replikasi DMS untuk basis data target harus mengaktifkan logging
-
[DMS.8] Tugas replikasi DMS untuk basis data sumber harus mengaktifkan logging
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.22] Grup keamanan Amazon EC2 yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan
-
[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IP publik ke antarmuka jaringan
-
[EC2.60] VPC harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager
-
[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 (IMDSv2)
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi
-
[ElastiCache.1] ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis
-
[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi dalam perjalanan
-
[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan
-
[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat
-
[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus ditandai
-
[FraudDetector.2] Label Amazon Fraud Detector harus ditandai
-
[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai
-
[FraudDetector.4] Variabel Fraud Detector Amazon harus ditandai
-
[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume
-
[FSx.2] Sistem file FSx for Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[GlobalAccelerator.1] Akselerator Global Accelerator harus ditandai
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan
-
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspector.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoTEvents.2]AWSModel detektor Peristiwa IoT harus diberi tag
-
[IoTTwinMaker.1]AWSPekerjaan TwinMaker sinkronisasi IoT harus ditandai
-
[IoTTwinMaker.2]AWS TwinMaker Ruang kerja IoT harus diberi tag
-
[IoTWireless.1]AWSGrup multicast Nirkabel IoT harus diberi tag
-
[IoTWireless.2]AWSProfil layanan IoT Wireless harus diberi tag
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] Cluster MSK harus dienkripsi dalam perjalanan di antara node broker
-
[MSK.2] Kluster MSK seharusnya memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.2] OpenSearch domain seharusnya tidak dapat diakses publik
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke CloudWatch Log harus diaktifkan
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[PCA.1]AWS Private CAotoritas sertifikat root harus dinonaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi
-
[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit
-
[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB
-
[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup
-
[RDS.51] Kluster global RDS harus berjalan pada versi Aurora MySQL yang didukung
-
[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.17] Grup parameter cluster Redshift harus diberi tag
-
[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik
-
[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch
-
[Route53.2] Rute 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA
-
[S3.24] Poin Multi-Region Akses S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai
-
[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan
-
[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan
-
[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan
-
[SageMaker.17] toko offline grup SageMaker fitur harus dienkripsi denganAWS KMSkeys
-
[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email
-
[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik
-
[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[WAF.1]AWS WAFPencatatan ACL Web Global Klasik harus diaktifkan
-
[WAF.2]AWS WAFAturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3]AWS WAFKelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4]AWS WAFACL web Regional Klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.6]AWS WAFAturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7]AWS WAFKelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8]AWS WAFACL web global klasik harus memiliki setidaknya satu aturan atau grup aturan
-
[WAF.10]AWS WAFACL web harus memiliki setidaknya satu aturan atau kelompok aturan