Batas regional pada kontrol

[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat

[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit

[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH

[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[ECR.4] Repositori publik ECR harus ditandai

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[RDS.31] Grup keamanan RDS DB harus ditandai

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[ECR.4] Repositori publik ECR harus ditandai

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[ECR.4] Repositori publik ECR harus ditandai

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar

[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik

[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[ECR.4] Repositori publik ECR harus ditandai

[ELB.2] Classic Load Balancer dengan pendengar SSL/HTTPS harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager

[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node

[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai

[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai

[IoT.3] AWS IoT Core dimensi harus ditandai

[IoT.4] AWS IoT Core otorisasi harus diberi tag

[IoT.5] alias AWS IoT Core peran harus ditandai

AWS IoT Core Kebijakan [IoT.6] harus ditandai

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[RDS.1] Snapshot RDS harus pribadi

[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking

[RDS.31] Grup keamanan RDS DB harus ditandai

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan

[AppFlow.1] AppFlow Aliran Amazon harus ditandai

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[ECR.4] Repositori publik ECR harus ditandai

[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking

[RDS.31] Grup keamanan RDS DB harus ditandai

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[SES.1] Daftar kontak SES harus ditandai

[SES.2] Set konfigurasi SES harus ditandai

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations

[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi

[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2

[AppConfig.1] AWS AppConfig aplikasi harus diberi tag

[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai

[AppConfig.3] AWS AppConfig lingkungan harus ditandai

[AppFlow.1] AppFlow Aliran Amazon harus ditandai

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat

[Backup.4] rencana AWS Backup laporan harus ditandai

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif

[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[Detective.1] Grafik perilaku detektif harus diberi tag

[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik

[DMS.2] Sertifikat DMS harus ditandai

[DMS.3] Langganan acara DMS harus ditandai

[DMS.4] Instans replikasi DMS harus ditandai

[DMS.5] Grup subnet replikasi DMS harus ditandai

[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis

[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging

[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging

[DMS.9] Titik akhir DMS harus menggunakan SSL

[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM

[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi

[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389

[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan

[EC2.28] Volume EBS harus dicakup oleh rencana cadangan

[EC2.34] tabel rute gateway EC2 transit harus ditandai

[EC2.40] Gateway EC2 NAT harus ditandai

[EC2.48] Log aliran VPC Amazon harus ditandai

[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[EC2.170] templat EC2 peluncuran harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[ECR.4] Repositori publik ECR harus ditandai

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

[EFS.2] Volume Amazon EFS harus ada dalam rencana cadangan

[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis

[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH

[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default

[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan

[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan

[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch

[ELB.5] Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan

[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan

[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik

[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan

[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue

[GuardDuty.2] GuardDuty filter harus diberi tag

[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh

[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan

[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang

[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol

[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan

[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM

[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan

[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus

[IAM.24] Peran IAM harus ditandai

[IAM.25] Pengguna IAM harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess

[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2

[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai

[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai

[IoT.3] AWS IoT Core dimensi harus ditandai

[IoT.4] AWS IoT Core otorisasi harus diberi tag

[IoT.5] alias AWS IoT Core peran harus ditandai

AWS IoT Core Kebijakan [IoT.6] harus ditandai

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag

[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS

[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS

[Macie.1] Amazon Macie harus diaktifkan

[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan

[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch

[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis

[MQ.4] Broker Amazon MQ harus diberi tag

[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga

[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat

[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch

[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik

[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis

[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat

[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM

[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot

[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone

[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat

[Opensearch.2] OpenSearch domain tidak boleh diakses publik

[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node

[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch

[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit

[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data

[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus

[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru

[Opensearch.9] domain harus ditandai OpenSearch

[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru

[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus

[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible

[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking

[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone

[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan

[RDS.31] Grup keamanan RDS DB harus ditandai

[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis

[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch

[Redshift.1] Cluster Amazon Redshift harus melarang akses publik

[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama

[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS

[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat dengan AWS KMS keys

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[SageMaker.1] Instans notebook Amazon SageMaker AI seharusnya tidak memiliki akses internet langsung

[SageMaker.2] Instans notebook SageMaker AI harus diluncurkan dalam VPC khusus

[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker AI

[SageMaker.5] SageMaker model harus memblokir lalu lintas masuk

[SES.1] Daftar kontak SES harus ditandai

[SES.2] Set konfigurasi SES harus ditandai

[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat

[SQS.2] Antrian SQS harus ditandai

[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik

[SSM.2] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations

[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi

[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2

[AppFlow.1] AppFlow Aliran Amazon harus ditandai

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat

[Backup.4] rencana AWS Backup laporan harus ditandai

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif

[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas

[CodeBuild.3] Log CodeBuild S3 harus dienkripsi

[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[Detective.1] Grafik perilaku detektif harus diberi tag

[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik

[DMS.2] Sertifikat DMS harus ditandai

[DMS.3] Langganan acara DMS harus ditandai

[DMS.4] Instans replikasi DMS harus ditandai

[DMS.5] Grup subnet replikasi DMS harus ditandai

[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis

[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging

[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging

[DMS.9] Titik akhir DMS harus menggunakan SSL

[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM

[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi

[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389

[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.28] Volume EBS harus dicakup oleh rencana cadangan

[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[ECR.4] Repositori publik ECR harus ditandai

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

[EFS.2] Volume Amazon EFS harus ada dalam rencana cadangan

[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis

[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH

[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default

[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan

[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan

[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan

[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[GuardDuty.2] GuardDuty filter harus diberi tag

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai

[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai

[IoT.3] AWS IoT Core dimensi harus ditandai

[IoT.4] AWS IoT Core otorisasi harus diberi tag

[IoT.5] alias AWS IoT Core peran harus ditandai

AWS IoT Core Kebijakan [IoT.6] harus ditandai

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag

[Macie.1] Amazon Macie harus diaktifkan

[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat

[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch

[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik

[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis

[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat

[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM

[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot

[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone

[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit

[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data

[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking

[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan

[RDS.31] Grup keamanan RDS DB harus ditandai

[Redshift.1] Cluster Amazon Redshift harus melarang akses publik

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS

[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat

[SQS.2] Antrian SQS harus ditandai

[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS

[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations

[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu

[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit

[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan

[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend

[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran

[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF

[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi

[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2

[AppConfig.1] AWS AppConfig aplikasi harus diberi tag

[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai

[AppConfig.3] AWS AppConfig lingkungan harus ditandai

[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai

[AppFlow.1] AppFlow Aliran Amazon harus ditandai

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan

[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag

[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[Athena.2] Katalog data Athena harus ditandai

[Athena.3] Kelompok kerja Athena harus ditandai

[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging

[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB

[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone

[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2

[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik

[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone

[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2

[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat

[Backup.2] poin AWS Backup pemulihan harus ditandai

[Backup.3] AWS Backup brankas harus ditandai

[Backup.4] rencana AWS Backup laporan harus ditandai

[Backup.5] rencana AWS Backup cadangan harus ditandai

[Batch.1] Antrian pekerjaan batch harus ditandai

[Batch.2] Kebijakan penjadwalan batch harus ditandai

[Batch.3] Lingkungan komputasi Batch harus ditandai

[CloudFormation.2] CloudFormation tumpukan harus ditandai

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3

[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif

[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas

[CodeBuild.3] Log CodeBuild S3 harus dienkripsi

[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config

[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat

[DataSync.1] DataSync tugas harus mengaktifkan logging

[Detective.1] Grafik perilaku detektif harus diberi tag

[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik

[DMS.2] Sertifikat DMS harus ditandai

[DMS.3] Langganan acara DMS harus ditandai

[DMS.4] Instans replikasi DMS harus ditandai

[DMS.5] Grup subnet replikasi DMS harus ditandai

[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis

[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging

[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging

[DMS.9] Titik akhir DMS harus menggunakan SSL

[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM

[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi

[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan

[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389

[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus

[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan

[EC2.28] Volume EBS harus dicakup oleh rencana cadangan

[EC2.33] lampiran gateway EC2 transit harus ditandai

[EC2.34] tabel rute gateway EC2 transit harus ditandai

[EC2.37] Alamat IP EC2 elastis harus ditandai

[EC2.40] Gateway EC2 NAT harus ditandai

[EC2.48] Log aliran VPC Amazon harus ditandai

[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien

[EC2.52] gateway EC2 transit harus ditandai

[EC2.53] grup EC2 keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

[EC2.54] grup EC2 keamanan tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh

[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API

[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry

[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[EC2.170] templat EC2 peluncuran harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[EC2.171] Koneksi EC2 VPN seharusnya mengaktifkan logging

[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi

[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi

[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi

[ECR.4] Repositori publik ECR harus ditandai

[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys

[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna.

[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host

[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa

[ECS.5] Wadah ECS harus dibatasi pada akses hanya-baca ke sistem file root

[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer

[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging

[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru

[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer

[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

[EFS.2] Volume Amazon EFS harus ada dalam rencana cadangan

[EFS.3] Titik akses EFS harus menegakkan direktori root

[EFS.4] Titik akses EFS harus menegakkan identitas pengguna

[EFS.5] Titik akses EFS harus ditandai

[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet publik

[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis

[EFS.8] Sistem file EFS harus dienkripsi saat istirahat

[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik

[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung

[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi

[EKS.6] Kluster EKS harus ditandai

[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai

[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit

[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis

[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis

[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis

[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat

[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit

[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH

[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default

[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan

[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan

[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch

[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone

[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone

[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF

[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan

[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik

[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan

[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat

[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit

[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat

[ES.2] Domain Elasticsearch tidak boleh diakses publik

[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node

[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan

[ES.9] Domain Elasticsearch harus diberi tag

[EventBridge.2] bus EventBridge acara harus diberi tag

[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir

[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume

[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

AWS Glue Pekerjaan [Glue.1] harus ditandai

[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat

[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue

[GuardDuty.1] GuardDuty harus diaktifkan

[GuardDuty.2] GuardDuty filter harus diberi tag

[GuardDuty.3] GuardDuty IPSets harus ditandai

[GuardDuty.4] GuardDuty detektor harus diberi tag

[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan

[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan

[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan

[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan

[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan

[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan

[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan

[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan

[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan

[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh

[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan

[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang

[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada

[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol

[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root

[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat

[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus

[IAM.9] MFA harus diaktifkan untuk pengguna root

[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki urasi yang kuat AWS Config

[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar

[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil

[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol

[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor

[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih

[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi

[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan

[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM

[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan

[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus

[IAM.23] Penganalisis Akses IAM harus ditandai

[IAM.24] Peran IAM harus ditandai

[IAM.25] Pengguna IAM harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess

[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan

[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2

[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai

[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai

[IoT.3] AWS IoT Core dimensi harus ditandai

[IoT.4] AWS IoT Core otorisasi harus diberi tag

[IoT.5] alias AWS IoT Core peran harus ditandai

AWS IoT Core Kebijakan [IoT.6] harus ditandai

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag

[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat

[Kinesis.2] Aliran kinesis harus ditandai

[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai

[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS

[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS

[KMS.5] Kunci KMS tidak boleh diakses publik

[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone

[Macie.1] Amazon Macie harus diaktifkan

[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan

[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch

[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis

[MQ.4] Broker Amazon MQ harus diberi tag

[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga

[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster

[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker

[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat

[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch

[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik

[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis

[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat

[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM

[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot

[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone

[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone

[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan

[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait

[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket penuh

[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi

[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong

[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan

[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet

[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat

[Opensearch.2] OpenSearch domain tidak boleh diakses publik

[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node

[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch

[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit

[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data

[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus

[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru

[Opensearch.9] domain harus ditandai OpenSearch

[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru

[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus

[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan

[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai

[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking

[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot

[RDS.18] Instans RDS harus digunakan di VPC

[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database

[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus

[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus

[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan

[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat

[RDS.30] Instans RDS DB harus ditandai

[RDS.31] Grup keamanan RDS DB harus ditandai

[RDS.32] Snapshot RDS DB harus ditandai

[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch

[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis

[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch

[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch

[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit

[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit

[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch

[Redshift.1] Cluster Amazon Redshift harus melarang akses publik

[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit

[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis

[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit

[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama

[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan

[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default

[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default

[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat

[Redshift.11] Cluster Redshift harus ditandai

[Redshift.13] Snapshot cluster Redshift harus ditandai

[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi

[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah

[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup

[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara

[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3

[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup

[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat dengan AWS KMS keys

[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok

[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA

[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek

[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[SageMaker.1] Instans notebook Amazon SageMaker AI seharusnya tidak memiliki akses internet langsung

[SageMaker.2] Instans notebook SageMaker AI harus diluncurkan dalam VPC khusus

[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker AI

[SageMaker.4] Varian produksi titik akhir SageMaker AI harus memiliki jumlah instans awal lebih besar dari 1

[SageMaker.5] SageMaker model harus memblokir lalu lintas masuk

[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis

[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar

[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan

[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu

[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS

[SES.1] Daftar kontak SES harus ditandai

[SES.2] Set konfigurasi SES harus ditandai

[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik

[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat

[SQS.2] Antrian SQS harus ditandai

[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik

[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager

[SSM.2] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

[SSM.4] Dokumen SSM seharusnya tidak bersifat publik

[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging

[StepFunctions.2] Aktivitas Step Functions harus diberi tag

[Transfer.1] AWS Transfer Family alur kerja harus ditandai

[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir

[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat

[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan

[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan

AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi

[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2

[AppFlow.1] AppFlow Aliran Amazon harus ditandai

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan

[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat

[Backup.4] rencana AWS Backup laporan harus ditandai

[Batch.1] Antrian pekerjaan batch harus ditandai

[Batch.3] Lingkungan komputasi Batch harus ditandai

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[Detective.1] Grafik perilaku detektif harus diberi tag

[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik

[DMS.2] Sertifikat DMS harus ditandai

[DMS.3] Langganan acara DMS harus ditandai

[DMS.4] Instans replikasi DMS harus ditandai

[DMS.5] Grup subnet replikasi DMS harus ditandai

[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis

[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging

[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging

[DMS.9] Titik akhir DMS harus menggunakan SSL

[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM

[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi

[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik

[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389

[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi

[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus

[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan

[EC2.28] Volume EBS harus dicakup oleh rencana cadangan

[EC2.34] tabel rute gateway EC2 transit harus ditandai

[EC2.40] Gateway EC2 NAT harus ditandai

[EC2.48] Log aliran VPC Amazon harus ditandai

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[EC2.170] templat EC2 peluncuran harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[ECR.4] Repositori publik ECR harus ditandai

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

[EFS.2] Volume Amazon EFS harus ada dalam rencana cadangan

[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis

[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis

[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis

[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat

[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit

[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH

[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default

[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan

[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan

[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch

[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan

[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik

[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan

[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue

[GuardDuty.2] GuardDuty filter harus diberi tag

[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh

[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan

[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang

[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol

[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root

[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus

[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki urasi yang kuat AWS Config

[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar

[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil

[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol

[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor

[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih

[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi

[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan

[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM

[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan

[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus

[IAM.24] Peran IAM harus ditandai

[IAM.25] Pengguna IAM harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess

[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2

[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai

[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai

[IoT.3] AWS IoT Core dimensi harus ditandai

[IoT.4] AWS IoT Core otorisasi harus diberi tag

[IoT.5] alias AWS IoT Core peran harus ditandai

AWS IoT Core Kebijakan [IoT.6] harus ditandai

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag

[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat

[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS

[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS

[Macie.1] Amazon Macie harus diaktifkan

[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan

[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat

[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch

[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik

[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis

[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat

[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM

[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot

[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone

[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat

[Opensearch.2] OpenSearch domain tidak boleh diakses publik

[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node

[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch

[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit

[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data

[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus

[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru

[Opensearch.9] domain harus ditandai OpenSearch

[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru

[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus

[RDS.1] Snapshot RDS harus pribadi

[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking

[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone

[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan

[RDS.31] Grup keamanan RDS DB harus ditandai

[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis

[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[SageMaker.1] Instans notebook Amazon SageMaker AI seharusnya tidak memiliki akses internet langsung

[SageMaker.2] Instans notebook SageMaker AI harus diluncurkan dalam VPC khusus

[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker AI

[SageMaker.5] SageMaker model harus memblokir lalu lintas masuk

[SES.1] Daftar kontak SES harus ditandai

[SES.2] Set konfigurasi SES harus ditandai

[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat

[SQS.2] Antrian SQS harus ditandai

[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

[SSM.4] Dokumen SSM seharusnya tidak bersifat publik

[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging

[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[ECR.4] Repositori publik ECR harus ditandai

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[RDS.31] Grup keamanan RDS DB harus ditandai

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations

[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu

[AppFlow.1] AppFlow Aliran Amazon harus ditandai

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat

[Backup.4] rencana AWS Backup laporan harus ditandai

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[Detective.1] Grafik perilaku detektif harus diberi tag

[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging

[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging

[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik

[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389

[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus siap

[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus

[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API

[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry

[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[ECR.4] Repositori publik ECR harus ditandai

[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis

[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default

[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan

[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan

[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS

[ELB.2] Classic Load Balancer dengan pendengar SSL/HTTPS harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager

[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS

[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid

[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan

[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config

[ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF

[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan

[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai

[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai

[IoT.3] AWS IoT Core dimensi harus ditandai

[IoT.4] AWS IoT Core otorisasi harus diberi tag

[IoT.5] alias AWS IoT Core peran harus ditandai

AWS IoT Core Kebijakan [IoT.6] harus ditandai

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag

[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS

[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone

[RDS.31] Grup keamanan RDS DB harus ditandai

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[SSM.2] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[ECR.4] Repositori publik ECR harus ditandai

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[RDS.31] Grup keamanan RDS DB harus ditandai

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[ECR.4] Repositori publik ECR harus ditandai

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[ECR.4] Repositori publik ECR harus ditandai

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu

[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit

[ACM.3] Sertifikat ACM harus ditandai

[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS

[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations

[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan

[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend

[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran

[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF

[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat

[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi

[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2

[AppConfig.1] AWS AppConfig aplikasi harus diberi tag

[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai

[AppConfig.3] AWS AppConfig lingkungan harus ditandai

[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai

[AppFlow.1] AppFlow Aliran Amazon harus ditandai

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan

[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag

[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[Athena.2] Katalog data Athena harus ditandai

[Athena.3] Kelompok kerja Athena harus ditandai

[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging

[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB

[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone

[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2

[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone

[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2

[AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag

[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik

[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat

[Backup.2] poin AWS Backup pemulihan harus ditandai

[Backup.3] AWS Backup brankas harus ditandai

[Backup.4] rencana AWS Backup laporan harus ditandai

[Backup.5] rencana AWS Backup cadangan harus ditandai

[Batch.1] Antrian pekerjaan batch harus ditandai

[Batch.2] Kebijakan penjadwalan batch harus ditandai

[Batch.3] Lingkungan komputasi Batch harus ditandai

[CloudFormation.2] CloudFormation tumpukan harus ditandai

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3

[CloudTrail.9] CloudTrail jejak harus ditandai

[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif

[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas

[CodeBuild.3] Log CodeBuild S3 harus dienkripsi

[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config

[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat

[DataSync.1] DataSync tugas harus mengaktifkan logging

[Detective.1] Grafik perilaku detektif harus diberi tag

[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik

[DMS.2] Sertifikat DMS harus ditandai

[DMS.3] Langganan acara DMS harus ditandai

[DMS.4] Instans replikasi DMS harus ditandai

[DMS.5] Grup subnet replikasi DMS harus ditandai

[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis

[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging

[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging

[DMS.9] Titik akhir DMS harus menggunakan SSL

[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM

[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi

[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan

[DynamoDB.5] Tabel DynamoDB harus diberi tag

[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2

[EC2.19] Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi

[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389

[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus

[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan

[EC2.28] Volume EBS harus dicakup oleh rencana cadangan

[EC2.33] lampiran gateway EC2 transit harus ditandai

[EC2.34] tabel rute gateway EC2 transit harus ditandai

[EC2.35] antarmuka EC2 jaringan harus ditandai

[EC2.36] gateway EC2 pelanggan harus ditandai

[EC2.37] Alamat IP EC2 elastis harus ditandai

[EC2.38] EC2 instance harus ditandai

[EC2.39] gateway EC2 internet harus ditandai

[EC2.40] Gateway EC2 NAT harus ditandai

[EC2.41] EC2 jaringan ACLs harus ditandai

[EC2.42] tabel EC2 rute harus ditandai

[EC2.43] grup EC2 keamanan harus ditandai

[EC2.44] EC2 subnet harus ditandai

[EC2.45] EC2 volume harus ditandai

[EC2.46] Amazon VPCs harus diberi tag

[EC2.47] Layanan titik akhir Amazon VPC harus diberi tag

[EC2.48] Log aliran VPC Amazon harus ditandai

[EC2.49] Koneksi peering VPC Amazon harus ditandai

[EC2.50] Gateway EC2 VPN harus ditandai

[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien

[EC2.52] gateway EC2 transit harus ditandai

[EC2.53] grup EC2 keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

[EC2.54] grup EC2 keamanan tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh

[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API

[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry

[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[EC2.170] templat EC2 peluncuran harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[EC2.171] Koneksi EC2 VPN seharusnya mengaktifkan logging

[EC2.172] Pengaturan Akses Publik Blok EC2 VPC harus memblokir lalu lintas gateway internet

[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi

[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi

[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi

[ECR.4] Repositori publik ECR harus ditandai

[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna.

[ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis

[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host

[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa

[ECS.5] Wadah ECS harus dibatasi pada akses hanya-baca ke sistem file root

[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer

[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging

[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru

[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer

[ECS.13] Layanan ECS harus ditandai

[ECS.14] Cluster ECS harus ditandai

[ECS.15] Definisi tugas ECS harus ditandai

[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

[EFS.2] Volume Amazon EFS harus ada dalam rencana cadangan

[EFS.3] Titik akses EFS harus menegakkan direktori root

[EFS.4] Titik akses EFS harus menegakkan identitas pengguna

[EFS.5] Titik akses EFS harus ditandai

[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet publik

[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis

[EFS.8] Sistem file EFS harus dienkripsi saat istirahat

[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik

[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung

[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi

[EKS.6] Kluster EKS harus ditandai

[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai

[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit

[ELB.2] Classic Load Balancer dengan pendengar SSL/HTTPS harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager

[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS

[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi

[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config

[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone

[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone

[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF

[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis

[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis

[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis

[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat

[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit

[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH

[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default

[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan

[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan

[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch

[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik

[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan

[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat

[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit

[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat

[ES.2] Domain Elasticsearch tidak boleh diakses publik

[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node

[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan

[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit

[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data

[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus

[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru

[ES.9] Domain Elasticsearch harus diberi tag

[EventBridge.2] bus EventBridge acara harus diberi tag

[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir

[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume

[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

AWS Glue Pekerjaan [Glue.1] harus ditandai

[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat

[GuardDuty.1] GuardDuty harus diaktifkan

[GuardDuty.2] GuardDuty filter harus diberi tag

[GuardDuty.3] GuardDuty IPSets harus ditandai

[GuardDuty.4] GuardDuty detektor harus diberi tag

[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan

[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan

[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan

[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan

[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan

[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan

[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh

[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan

[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang

[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada

[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol

[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root

[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat

[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus

[IAM.9] MFA harus diaktifkan untuk pengguna root

[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki urasi yang kuat AWS Config

[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar

[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil

[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol

[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor

[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih

[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi

[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan

[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM

[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan

[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus

[IAM.23] Penganalisis Akses IAM harus ditandai

[IAM.24] Peran IAM harus ditandai

[IAM.25] Pengguna IAM harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess

[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan

[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2

[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai

[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai

[IoT.3] AWS IoT Core dimensi harus ditandai

[IoT.4] AWS IoT Core otorisasi harus diberi tag

[IoT.5] alias AWS IoT Core peran harus ditandai

AWS IoT Core Kebijakan [IoT.6] harus ditandai

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag

[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat

[Kinesis.2] Aliran kinesis harus ditandai

[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai

[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS

[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS

[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja

[KMS.5] Kunci KMS tidak boleh diakses publik

[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone

[Lambda.6] Fungsi Lambda harus ditandai

[Macie.1] Amazon Macie harus diaktifkan

[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan

[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch

[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis

[MQ.4] Broker Amazon MQ harus diberi tag

[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga

[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster

[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker

[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat

[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch

[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik

[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis

[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat

[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM

[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot

[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone

[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone

[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan

[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait

[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket penuh

[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi

[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong

[NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag

[NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai

[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan

[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat

[Opensearch.2] OpenSearch domain tidak boleh diakses publik

[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node

[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch

[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit

[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data

[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus

[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru

[Opensearch.9] domain harus ditandai OpenSearch

[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru

[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus

[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan

[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai

[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking

[RDS.16] Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot

[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot

[RDS.18] Instans RDS harus digunakan di VPC

[RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting

[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance basis data penting

[RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting

[RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting

[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database

[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus

[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus

[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan

[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat

[RDS.28] Cluster RDS DB harus ditandai

[RDS.29] Snapshot cluster RDS DB harus ditandai

[RDS.30] Instans RDS DB harus ditandai

[RDS.31] Grup keamanan RDS DB harus ditandai

[RDS.32] Snapshot RDS DB harus ditandai

[RDS.33] Grup subnet RDS DB harus ditandai

[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch

[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis

[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch

[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch

[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit

[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit

[Redshift.1] Cluster Amazon Redshift harus melarang akses publik

[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit

[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis

[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit

[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama

[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan

[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default

[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default

[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat

[Redshift.11] Cluster Redshift harus ditandai

[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai

[Redshift.13] Snapshot cluster Redshift harus ditandai

[Redshift.14] Grup subnet cluster Redshift harus ditandai

[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi

[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah

[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup

[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara

[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3

[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup

[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat dengan AWS KMS keys

[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok

[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA

[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek

[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[SageMaker.1] Instans notebook Amazon SageMaker AI seharusnya tidak memiliki akses internet langsung

[SageMaker.2] Instans notebook SageMaker AI harus diluncurkan dalam VPC khusus

[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker AI

[SageMaker.4] Varian produksi titik akhir SageMaker AI harus memiliki jumlah instans awal lebih besar dari 1

[SageMaker.5] SageMaker model harus memblokir lalu lintas masuk

[SES.1] Daftar kontak SES harus ditandai

[SES.2] Set konfigurasi SES harus ditandai

[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis

[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar

[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan

[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu

[SecretsManager.5] Rahasia Secrets Manager harus diberi tag

[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS

[SNS.3] Topik SNS harus ditandai

[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik

[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat

[SQS.2] Antrian SQS harus ditandai

[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager

[SSM.2] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

[SSM.4] Dokumen SSM seharusnya tidak bersifat publik

[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging

[StepFunctions.2] Aktivitas Step Functions harus diberi tag

[Transfer.1] AWS Transfer Family alur kerja harus ditandai

[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat

[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan

[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan

AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[ECR.4] Repositori publik ECR harus ditandai

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[ECR.4] Repositori publik ECR harus ditandai

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai

[RDS.31] Grup keamanan RDS DB harus ditandai

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS

[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations

[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu

[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit

[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan

[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend

[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran

[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF

[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi

[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2

[AppConfig.1] AWS AppConfig aplikasi harus diberi tag

[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai

[AppConfig.3] AWS AppConfig lingkungan harus ditandai

[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai

[AppFlow.1] AppFlow Aliran Amazon harus ditandai

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan

[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag

[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging

[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB

[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone

[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2

[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik

[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone

[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2

[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat

[Backup.4] rencana AWS Backup laporan harus ditandai

[Batch.1] Antrian pekerjaan batch harus ditandai

[Batch.3] Lingkungan komputasi Batch harus ditandai

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3

[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif

[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas

[CodeBuild.3] Log CodeBuild S3 harus dienkripsi

[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config

[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat

[DataSync.1] DataSync tugas harus mengaktifkan logging

[Detective.1] Grafik perilaku detektif harus diberi tag

[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik

[DMS.2] Sertifikat DMS harus ditandai

[DMS.3] Langganan acara DMS harus ditandai

[DMS.4] Instans replikasi DMS harus ditandai

[DMS.5] Grup subnet replikasi DMS harus ditandai

[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis

[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging

[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging

[DMS.9] Titik akhir DMS harus menggunakan SSL

[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM

[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi

[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan

[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389

[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus

[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan

[EC2.28] Volume EBS harus dicakup oleh rencana cadangan

[EC2.33] lampiran gateway EC2 transit harus ditandai

[EC2.34] tabel rute gateway EC2 transit harus ditandai

[EC2.37] Alamat IP EC2 elastis harus ditandai

[EC2.40] Gateway EC2 NAT harus ditandai

[EC2.48] Log aliran VPC Amazon harus ditandai

[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien

[EC2.53] grup EC2 keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

[EC2.54] grup EC2 keamanan tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh

[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API

[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry

[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[EC2.170] templat EC2 peluncuran harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[EC2.171] Koneksi EC2 VPN seharusnya mengaktifkan logging

[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi

[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi

[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi

[ECR.4] Repositori publik ECR harus ditandai

[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys

[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna.

[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host

[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa

[ECS.5] Wadah ECS harus dibatasi pada akses hanya-baca ke sistem file root

[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer

[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging

[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru

[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer

[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

[EFS.2] Volume Amazon EFS harus ada dalam rencana cadangan

[EFS.3] Titik akses EFS harus menegakkan direktori root

[EFS.4] Titik akses EFS harus menegakkan identitas pengguna

[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet publik

[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis

[EFS.8] Sistem file EFS harus dienkripsi saat istirahat

[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik

[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung

[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi

[EKS.6] Kluster EKS harus ditandai

[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai

[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit

[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis

[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis

[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis

[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat

[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit

[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH

[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default

[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan

[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan

[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch

[ELB.2] Classic Load Balancer dengan pendengar SSL/HTTPS harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager

[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone

[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone

[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF

[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan

[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik

[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan

[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat

[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat

[ES.2] Domain Elasticsearch tidak boleh diakses publik

[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node

[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan

[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir

[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume

[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat

[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue

[GuardDuty.1] GuardDuty harus diaktifkan

[GuardDuty.2] GuardDuty filter harus diberi tag

[GuardDuty.3] GuardDuty IPSets harus ditandai

[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan

[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan

[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan

[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan

[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan

[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan

[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan

[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan

[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan

[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh

[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan

[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang

[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada

[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol

[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root

[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat

[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus

[IAM.9] MFA harus diaktifkan untuk pengguna root

[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki urasi yang kuat AWS Config

[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar

[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil

[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol

[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor

[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih

[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi

[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan

[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM

[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan

[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus

[IAM.24] Peran IAM harus ditandai

[IAM.25] Pengguna IAM harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess

[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan

[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2

[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai

[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai

[IoT.3] AWS IoT Core dimensi harus ditandai

[IoT.4] AWS IoT Core otorisasi harus diberi tag

[IoT.5] alias AWS IoT Core peran harus ditandai

AWS IoT Core Kebijakan [IoT.6] harus ditandai

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag

[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat

[Kinesis.2] Aliran kinesis harus ditandai

[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai

[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS

[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS

[KMS.5] Kunci KMS tidak boleh diakses publik

[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone

[Macie.1] Amazon Macie harus diaktifkan

[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan

[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch

[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis

[MQ.4] Broker Amazon MQ harus diberi tag

[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga

[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster

[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker

[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat

[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch

[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik

[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis

[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat

[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM

[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot

[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone

[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone

[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan

[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait

[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket penuh

[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi

[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong

[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan

[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet

[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat

[Opensearch.2] OpenSearch domain tidak boleh diakses publik

[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node

[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch

[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit

[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data

[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus

[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru

[Opensearch.9] domain harus ditandai OpenSearch

[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru

[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus

[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan

[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking

[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot

[RDS.18] Instans RDS harus digunakan di VPC

[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database

[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus

[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus

[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan

[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat

[RDS.30] Instans RDS DB harus ditandai

[RDS.31] Grup keamanan RDS DB harus ditandai

[RDS.32] Snapshot RDS DB harus ditandai

[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch

[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis

[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch

[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch

[RDS.38] RDS untuk instance PostgreSQL DB harus dienkripsi saat transit

[RDS.39] RDS untuk instance MySQL DB harus dienkripsi saat transit

[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch

[Redshift.1] Cluster Amazon Redshift harus melarang akses publik

[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit

[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis

[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama

[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan

[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default

[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default

[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat

[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi

[Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone

[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah

[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup

[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara

[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3

[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup

[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat dengan AWS KMS keys

[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok

[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA

[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek

[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[SageMaker.1] Instans notebook Amazon SageMaker AI seharusnya tidak memiliki akses internet langsung

[SageMaker.2] Instans notebook SageMaker AI harus diluncurkan dalam VPC khusus

[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker AI

[SageMaker.4] Varian produksi titik akhir SageMaker AI harus memiliki jumlah instans awal lebih besar dari 1

[SageMaker.5] SageMaker model harus memblokir lalu lintas masuk

[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis

[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar

[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan

[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu

[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS

[SES.1] Daftar kontak SES harus ditandai

[SES.2] Set konfigurasi SES harus ditandai

[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik

[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat

[SQS.2] Antrian SQS harus ditandai

[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik

[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager

[SSM.2] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

[SSM.4] Dokumen SSM seharusnya tidak bersifat publik

[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging

[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir

[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging

[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan

[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat

[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan

[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat

[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan

[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan

AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations

[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu

[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit

[ACM.3] Sertifikat ACM harus ditandai

[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend

[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran

[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF

[AppConfig.1] AWS AppConfig aplikasi harus diberi tag

[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai

[AppConfig.3] AWS AppConfig lingkungan harus ditandai

[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai

[AppFlow.1] AppFlow Aliran Amazon harus ditandai

[AppRunner.1] Layanan App Runner harus diberi tag

[AppRunner.2] Konektor VPC App Runner harus diberi tag

[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat

[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag

[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit

[Athena.2] Katalog data Athena harus ditandai

[Athena.3] Kelompok kerja Athena harus ditandai

[AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag

[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat

[Backup.2] poin AWS Backup pemulihan harus ditandai

[Backup.3] AWS Backup brankas harus ditandai

[Backup.4] rencana AWS Backup laporan harus ditandai

[Backup.5] rencana AWS Backup cadangan harus ditandai

[Batch.1] Antrian pekerjaan batch harus ditandai

[Batch.2] Kebijakan penjadwalan batch harus ditandai

[Batch.3] Lingkungan komputasi Batch harus ditandai

[CloudFormation.2] CloudFormation tumpukan harus ditandai

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus

[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudFront.14] CloudFront distribusi harus ditandai

[CloudTrail.9] CloudTrail jejak harus ditandai

[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi

[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu

[CodeArtifact.1] CodeArtifact repositori harus diberi tag

[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag

[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag

[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar

[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag

[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch

[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat

[Detective.1] Grafik perilaku detektif harus diberi tag

[DMS.2] Sertifikat DMS harus ditandai

[DMS.3] Langganan acara DMS harus ditandai

[DMS.4] Instans replikasi DMS harus ditandai

[DMS.5] Grup subnet replikasi DMS harus ditandai

[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM

[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi

[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan

[DynamoDB.5] Tabel DynamoDB harus diberi tag

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik

[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus

[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus siap

[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus

[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

[EC2.28] Volume EBS harus dicakup oleh rencana cadangan

[EC2.33] lampiran gateway EC2 transit harus ditandai

[EC2.34] tabel rute gateway EC2 transit harus ditandai

[EC2.35] antarmuka EC2 jaringan harus ditandai

[EC2.36] gateway EC2 pelanggan harus ditandai

[EC2.37] Alamat IP EC2 elastis harus ditandai

[EC2.38] EC2 instance harus ditandai

[EC2.39] gateway EC2 internet harus ditandai

[EC2.40] Gateway EC2 NAT harus ditandai

[EC2.41] EC2 jaringan ACLs harus ditandai

[EC2.42] tabel EC2 rute harus ditandai

[EC2.43] grup EC2 keamanan harus ditandai

[EC2.44] EC2 subnet harus ditandai

[EC2.45] EC2 volume harus ditandai

[EC2.46] Amazon VPCs harus diberi tag

[EC2.47] Layanan titik akhir Amazon VPC harus diberi tag

[EC2.48] Log aliran VPC Amazon harus ditandai

[EC2.49] Koneksi peering VPC Amazon harus ditandai

[EC2.50] Gateway EC2 VPN harus ditandai

[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien

[EC2.52] gateway EC2 transit harus ditandai

[EC2.53] grup EC2 keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

[EC2.54] grup EC2 keamanan tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh

[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager

[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager

[EC2.171] Koneksi EC2 VPN seharusnya mengaktifkan logging

[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi

[ECR.4] Repositori publik ECR harus ditandai

[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna.

[ECS.13] Layanan ECS harus ditandai

[ECS.14] Cluster ECS harus ditandai

[ECS.15] Definisi tugas ECS harus ditandai

[EFS.5] Titik akses EFS harus ditandai

[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet publik

[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi

[EKS.6] Kluster EKS harus ditandai

[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai

[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis

[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan

[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan

[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch

[ELB.2] Classic Load Balancer dengan pendengar SSL/HTTPS harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager

[ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF

[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan

[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan

[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat

[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit

[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node

[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan

[ES.9] Domain Elasticsearch harus diberi tag

[EventBridge.2] bus EventBridge acara harus diberi tag

[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara

[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag

[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag

[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai

[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag

[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume

[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan

[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag

AWS Glue Pekerjaan [Glue.1] harus ditandai

[GuardDuty.1] GuardDuty harus diaktifkan

[GuardDuty.2] GuardDuty filter harus diberi tag

[GuardDuty.3] GuardDuty IPSets harus ditandai

[GuardDuty.4] GuardDuty detektor harus diberi tag

[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan

[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan

[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan

[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan

[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan

[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan

[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan

[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan

[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan

[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root

[IAM.9] MFA harus diaktifkan untuk pengguna root

[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan

[IAM.23] Penganalisis Akses IAM harus ditandai

[IAM.24] Peran IAM harus ditandai

[IAM.25] Pengguna IAM harus diberi tag

[IAM.26] Sertifikat SSL/TLS kedaluwarsa yang dikelola di IAM harus dihapus

[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess

[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan

[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2

[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai

[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai

[IoT.3] AWS IoT Core dimensi harus ditandai

[IoT.4] AWS IoT Core otorisasi harus diberi tag

[IoT.5] alias AWS IoT Core peran harus ditandai

AWS IoT Core Kebijakan [IoT.6] harus ditandai

[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag

[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag

[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag

[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise

[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise

[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise

[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise

[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise

[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker

[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker

[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker

[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag

[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag

[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai

[IVS.1] Pasangan kunci pemutaran IVS harus ditandai

[IVS.2] Konfigurasi perekaman IVS harus ditandai

[IVS.3] Saluran IVS harus ditandai

[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag

[Kinesis.2] Aliran kinesis harus ditandai

[Lambda.6] Fungsi Lambda harus ditandai

[Macie.1] Amazon Macie harus diaktifkan

[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan

[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch

[MQ.4] Broker Amazon MQ harus diberi tag

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit